mft2csv

  • python-acquire快速将磁盘映像或实时系统中的取证工件收集到轻量级容器中。
  • nfex一种用于从网络中实时提取文件或从离线tcpdump pcap保存文件中进行后捕获的工具。
  • vinetto用于检查thumbs.db文件的取证工具
  • volatility高级内存取证框架
  • recuperabit用于法医文件系统重建的工具。
  • chainsaw强大的“第一反应”功能,可在Windows事件日志中快速识别威胁。
  • myrescue首先读取未损坏区域的硬盘恢复工具。
  • fridump使用frida的通用内存转储程序。