ntfs-file-extractor

  • limeaide远程转储Linux客户机的RAM,并创建一个波动率配置文件,以便稍后在本地主机上进行分析。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • usbripLinux上跟踪USB设备的CLI取证工具
  • chainsaw强大的“第一反应”功能,可在Windows事件日志中快速识别威胁。
  • extractusnjrnl用于从NTFS卷提取$UsnJrnl的工具。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • python-dissect.shellitem一个Dissect模块,实现了Shellten结构的解析器,通常由Microsoft Windows使用。
  • pdfid扫描文件以查找特定的PDF关键字。