dfir-ntfs

python-dissect.extfs：Dissect模块为ExtFS文件系统（Linux操作系统的原生文件系统）实现解析器。
stenographer：一种包捕获解决方案，其目的是快速地将所有包假脱机到磁盘上，然后提供对这些包的子集的简单、快速的访问。
indxcarver：从一块数据中雕刻INDX记录。
imagemounter：命令行实用程序和python包，以简化法医磁盘映像的（卸载）安装。
python-dissect.sql：一个Dissect模块，实现SQLite数据库文件格式的解析器，通常由应用程序用于存储配置数据。
grokevt：为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
malheur：自动分析恶意软件行为的工具。
python-dissect.esedb：一个Dissect模块，实现了微软可扩展存储引擎数据库（ESEDB）的解析器，例如在Active Directory、Exchange和Windows Update中使用。