vipermonkey

volatility：高级内存取证框架
parse-evtx：分析Windows XML事件日志（EVTX）格式的工具。
pe-sieve：扫描给定进程。识别并转储各种潜在的恶意植入（替换/注入的PEs、外壳代码、钩子、内存补丁）。
python-mmbot：针对网络响应者的强大恶意文件分类工具。
python2-rekall：记忆取证框架。
myrescue：首先读取未损坏区域的硬盘恢复工具。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
python-flow.record：录制库。