dfir-ntfs

chntpw：脱机NT密码编辑器-重置Windows NT SAM用户数据库文件中的密码
extractusnjrnl：用于从NTFS卷提取$UsnJrnl的工具。
reglookup：用于读取和查询Windows NT注册表的命令行实用程序
sleuthkit：文件系统和媒体管理取证分析工具
mimipenguin：从当前Linux用户转储登录密码的工具。
python2-rekall：记忆取证框架。
python-dissect.evidence：一个Dissect模块，为各种法医证据文件容器实现解析器，目前包括AD1、ASDF和EWF。
python-dissect.esedb：一个Dissect模块，实现了微软可扩展存储引擎数据库（ESEDB）的解析器，例如在Active Directory、Exchange和Windows Update中使用。