dfir-ntfs

shadowexplorer：浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
mboxgrep：一种小型的非交互式实用程序，它扫描邮件文件夹中与正则表达式匹配的邮件。它与基本和扩展的POSIX正则表达式进行匹配，并读取和写入各种邮箱格式。
ntdsxtract：Active Directory法医框架。
disitool：用于处理Windows可执行文件数字签名的工具。
grokevt：为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
python-dissect.btrfs：一个为btrfs文件系统实现解析器的Dissect模块。
malwaredetect：将文件的sha1 sum提交给virustotal以确定它是否是已知的恶意软件。
chainsaw：强大的“第一反应”功能，可在Windows事件日志中快速识别威胁。