dftimewolf

python-acquire：快速将磁盘映像或实时系统中的取证工件收集到轻量级容器中。
python-dissect.volume：一个Dissect模块，为不同的磁盘卷和分区系统（例如LVM2、GPT和MBR）实现解析器。
grokevt：为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
python-dissect.esedb：一个Dissect模块，实现了微软可扩展存储引擎数据库（ESEDB）的解析器，例如在Active Directory、Exchange和Windows Update中使用。
python-dissect.vmfs：一个实现VMFS文件系统解析器的Dissect模块，由VMware虚拟化软件使用。
python-dissect.util：一个Dissect模块，为其他Dissect模块实现各种实用功能。
extundelete：用于通过解析日志从ext2、ext3或ext4分区恢复已删除文件的实用工具
swap-digger：一种工具，用于在开发后或取证过程中自动执行Linux交换分析。