dfir-ntfs

pev：用于PE32/PE32+文件分析的基于命令行的工具。
python-dissect.xfs：一个实现XFS文件系统解析器的Dissect模块，通常由RedHat Linux发行版使用。
dmde：磁盘编辑器和数据恢复软件。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
mft2csv：提取$MFT记录信息并将其记录到csv文件中。
recoverdm：恢复损坏的CD DVD和具有坏扇区的磁盘。
undbx：从Outlook Express DBX文件中提取电子邮件。
haystack：用于从进程内存堆分析内存结构取证中查找C结构的python框架。