libfvde

  • mftcarver从数据块(例如内存转储)中雕刻$MFT记录。
  • windows-prefetch-parser解析Windows预取文件。
  • casefile小弟弟到马耳他没有转换,但结合了图表和链接分析,检查手动添加数据到思维地图的信息之间的链接
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • python-dissect.thumbcache一个实现windows缩略图缓存解析器的Dissect模块。
  • powermft强大的命令行$MFT记录编辑器。
  • exiflooter在所有图像URL和目录上查找地理位置也与OpenStreetMap集成。
  • dff带有命令行和图形界面的取证框架。