mftcarver

  • reglookup用于读取和查询Windows NT注册表的命令行实用程序
  • dshell网络法证分析框架。
  • perl-image-exiftool支持原始文件的exif信息的读写器
  • python-dissect.ffs一个实现FFS文件系统解析器的Dissect模块,通常由BSD操作系统使用。
  • afflib一种可扩展的开放式格式,用于存储磁盘图像和相关的取证信息。
  • galleta为了法医的目的检查IE的cookie文件的内容
  • ntfs-file-extractor从NTFS中提取文件。
  • magicrescue在阻止设备上查找和恢复已删除的文件