python-rekall

python-dissect.target：解剖模块将所有其他解剖模块连接在一起。它提供了编程API和命令行工具，允许轻松访问磁盘映像或文件集合（也称为目标）中的各种数据源。
pdfbook-analyzer：用于Facebook内存取证的实用程序。
malwaredetect：将文件的sha1 sum提交给virustotal以确定它是否是已知的恶意软件。
extractusnjrnl：用于从NTFS卷提取$UsnJrnl的工具。
networkminer：一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
chainsaw：强大的“第一反应”功能，可在Windows事件日志中快速识别威胁。
androick：一个帮助Android取证分析的python工具。
parse-evtx：分析Windows XML事件日志（EVTX）格式的工具。