python-rekall

volatility：高级内存取证框架
mboxgrep：一种小型的非交互式实用程序，它扫描邮件文件夹中与正则表达式匹配的邮件。它与基本和扩展的POSIX正则表达式进行匹配，并读取和写入各种邮箱格式。
tchunt-ng：显示存储在文件系统上的加密文件。
dmg2img：转换（压缩）苹果磁盘图像。
python-dissect.clfs：一个Dissect模块，实现了Windows CLFS（通用日志文件系统）文件系统的解析器。
lfle：通过试探性地查找记录结构，从映像中恢复事件日志条目。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
replayproxy：用于重放在PCAP文件中捕获的基于Web的攻击（以及一般HTTP流量）的法医工具。