volatility3

imagemounter：命令行实用程序和python包，以简化法医磁盘映像的（卸载）安装。
chromensics：谷歌Chrome取证工具。
secure2csv：在NTFS上以$Secure格式解码安全描述符。
python-dissect.hypervisor：一个Dissect模块，为各种管理程序磁盘、备份和配置文件实现解析器。
regrippy：用于从Windows注册表配置单元读取和提取有用的取证数据的框架。
lfle：通过试探性地查找记录结构，从映像中恢复事件日志条目。
python-dissect.fve：Dissect模块实现了用于全卷加密实现的解析器，目前是微软的Bitlocker磁盘加密（BDE）和Linux统一密钥设置（LUKS1和LUKS2）。
haystack：用于从进程内存堆分析内存结构取证中查找C结构的python框架。