mftrcrd

  • foremost基于文件头、文件尾和内部数据结构恢复文件的控制台程序。
  • regrippy用于从Windows注册表配置单元读取和提取有用的取证数据的框架。
  • grokevt为读取Windows NT/2K/XP/2K事件日志文件而生成的脚本集合。
  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • make-pdf这个工具将把javascript嵌入到一个PDF文档中。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • chipsec用于分析PC平台安全性的框架,包括硬件、系统固件(bios/uefi)和平台组件。
  • vipermonkey用于分析恶意宏的VBA解析器和仿真引擎。