volatility3

python-dissect.fve：Dissect模块实现了用于全卷加密实现的解析器，目前是微软的Bitlocker磁盘加密（BDE）和Linux统一密钥设置（LUKS1和LUKS2）。
loki-scanner：简单的IOC和事件响应扫描仪。
dshell：网络法证分析框架。
dcfldd：DCFL（国防部计算机取证实验室）DD替换为哈希
bios_memimage：将RAM内容转储到磁盘的工具（也称为冷启动攻击）。
python-dissect.ntfs：一个实现NTFS文件系统解析器的Dissect模块，由Windows操作系统使用。
sleuthkit：文件系统和媒体管理取证分析工具
regreport：Windows注册表取证分析工具。