mftrcrd

  • testdisk检查和恢复分区+photorec,基于签名的恢复工具
  • bulk-extractor批量电子邮件和URL提取工具。
  • thumbcacheviewer提取Windows thumbcache数据库文件。
  • indxparse用于检查NTFS项目的工具套件。
  • bmap-tools使用块映射文件中的信息复制大量稀疏文件的工具。
  • interrogate一个概念验证工具,用于识别二进制材料中的加密密钥(不考虑目标操作系统),首先用于内存转储分析和法医使用。
  • imagemounter命令行实用程序和python包,以简化法医磁盘映像的(卸载)安装。
  • vinetto用于检查thumbs.db文件的取证工具