dfir-ntfs

mboxgrep：一种小型的非交互式实用程序，它扫描邮件文件夹中与正则表达式匹配的邮件。它与基本和扩展的POSIX正则表达式进行匹配，并读取和写入各种邮箱格式。
nfex：一种用于从网络中实时提取文件或从离线tcpdump pcap保存文件中进行后捕获的工具。
replayproxy：用于重放在PCAP文件中捕获的基于Web的攻击（以及一般HTTP流量）的法医工具。
rcrdcarver：从一块数据中雕刻RCRD记录（$LogFile）。。
extundelete：用于通过解析日志从ext2、ext3或ext4分区恢复已删除文件的实用工具
rekall：记忆取证框架。
ldsview：LDIF格式LDAP目录转储的脱机搜索工具。
memdump：将系统内存转储到stdout，跳过内存映射中的孔。