volatility3

interrogate：一个概念验证工具，用于识别二进制材料中的加密密钥（不考虑目标操作系统），首先用于内存转储分析和法医使用。
DFIRtriage：Windows数字取证工具
python-dissect.btrfs：一个为btrfs文件系统实现解析器的Dissect模块。
python-dissect.hypervisor：一个Dissect模块，为各种管理程序磁盘、备份和配置文件实现解析器。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
python-dissect.sql：一个Dissect模块，实现SQLite数据库文件格式的解析器，通常由应用程序用于存储配置数据。
pmdump：一种工具，允许您将进程的内存内容转储到文件而不停止进程。
powermft：强大的命令行$MFT记录编辑器。