pdblaster

libfvde：用于访问FileVault驱动器加密（FVDE）加密卷的库和工具。
recuperabit：用于法医文件系统重建的工具。
extractusnjrnl：用于从NTFS卷提取$UsnJrnl的工具。
scalpel：节俭、高性能的文件雕刻机
python-dissect.esedb：一个Dissect模块，实现了微软可扩展存储引擎数据库（ESEDB）的解析器，例如在Active Directory、Exchange和Windows Update中使用。
replayproxy：用于重放在PCAP文件中捕获的基于Web的攻击（以及一般HTTP流量）的法医工具。
pextractor：一种取证工具，可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
thumbcacheviewer：提取Windows thumbcache数据库文件。