indxcarver

  • bmap-tools使用块映射文件中的信息复制大量稀疏文件的工具。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • lfle通过试探性地查找记录结构,从映像中恢复事件日志条目。
  • python-dissect.evidence一个Dissect模块,为各种法医证据文件容器实现解析器,目前包括AD1、ASDF和EWF。
  • python-dissect.cim一个Dissect模块,为Windows操作系统中使用的Windows公共信息模型(CIM)数据库实现解析器。
  • swap-digger一种工具,用于在开发后或取证过程中自动执行Linux交换分析。
  • memfetch转储任何用户空间进程内存而不影响其执行。
  • recentfilecache-parserRecentFileCache的Python解析器。Windows上的bcf。