mftrcrd

  • python-dissect.etl一个Dissect模块,实现了事件跟踪日志(ETL)文件的解析器,由Windows操作系统用于记录内核事件。
  • bios_memimage将RAM内容转储到磁盘的工具(也称为冷启动攻击)。
  • secure2csv在NTFS上以$Secure格式解码安全描述符。
  • casefile小弟弟到马耳他没有转换,但结合了图表和链接分析,检查手动添加数据到思维地图的信息之间的链接
  • skypefreakSkype的跨平台取证框架。
  • python-dissect.fat一个实现FAT和exFAT文件系统解析器的Dissect模块,通常用于基于闪存的存储设备和UEFI分区。
  • volatility高级内存取证框架
  • limeaide远程转储Linux客户机的RAM,并创建一个波动率配置文件,以便稍后在本地主机上进行分析。