syft

galleta：为了法医的目的检查IE的cookie文件的内容
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
casefile：小弟弟到马耳他没有转换，但结合了图表和链接分析，检查手动添加数据到思维地图的信息之间的链接
pextractor：一种取证工具，可以从由连接程序或类似程序创建的可执行文件中提取所有文件。
interrogate：一个概念验证工具，用于识别二进制材料中的加密密钥（不考虑目标操作系统），首先用于内存转储分析和法医使用。
memdump：将系统内存转储到stdout，跳过内存映射中的孔。
shadowexplorer：浏览Windows Vista/7/8/10卷影复制服务创建的卷影副本。
iphoneanalyzer：允许您在iOS设备中进行取证检查或恢复日期。