secure2csv

  • recentfilecache-parserRecentFileCache的Python解析器。Windows上的bcf。
  • shadowexplorer浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
  • wmi-forensics用于在WMI存储库中查找证据的脚本。
  • dmg2img转换(压缩)苹果磁盘图像。
  • vinetto用于检查thumbs.db文件的取证工具
  • memfetch转储任何用户空间进程内存而不影响其执行。
  • haystack用于从进程内存堆分析内存结构取证中查找C结构的python框架。
  • volatility3高级记忆取证框架