analyzemft

mftcarver：从数据块（例如内存转储）中雕刻$MFT记录。
bmap-tools：使用块映射文件中的信息复制大量稀疏文件的工具。
aesfix：在RAM中查找AES密钥的工具
python-dissect.fve：Dissect模块实现了用于全卷加密实现的解析器，目前是微软的Bitlocker磁盘加密（BDE）和Linux统一密钥设置（LUKS1和LUKS2）。
rkhunter：检查机器是否存在rootkit和其他不需要的工具。
dftimewolf：协调法医收集、处理和数据导出的框架。
wyd：从个人文件中获取关键字。IT安全/法医工具。
iosforensic：iOS取证工具https://www.owasp.org/index.php/projects/owasp_ios forensic