dfir-ntfs

imagemounter：命令行实用程序和python包，以简化法医磁盘映像的（卸载）安装。
python-dissect.vmfs：一个实现VMFS文件系统解析器的Dissect模块，由VMware虚拟化软件使用。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
galleta：为了法医的目的检查IE的cookie文件的内容
memimager：使用ntsystemdebugcontrol执行内存转储。
make-pdf：这个工具将把javascript嵌入到一个PDF文档中。
tell-me-your-secrets：在任何机器上从120多个不同的签名中查找秘密。
grokevt：为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。