dfir-ntfs

python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
reglookup：用于读取和查询Windows NT注册表的命令行实用程序
vinetto：用于检查thumbs.db文件的取证工具
mdbtools：用于查看数据和从Microsoft Access数据库文件导出架构的实用程序。
bios_memimage：将RAM内容转储到磁盘的工具（也称为冷启动攻击）。
ddrescue：数据恢复工具。它将数据从一个文件或数据块设备（硬盘、光盘等）复制到另一个文件或数据块设备，试图在出现读取错误时首先恢复好的部分。
androick：一个帮助Android取证分析的python工具。
python-dissect.extfs：Dissect模块为ExtFS文件系统（Linux操作系统的原生文件系统）实现解析器。