volatility3

chainsaw：强大的“第一反应”功能，可在Windows事件日志中快速识别威胁。
interrogate：一个概念验证工具，用于识别二进制材料中的加密密钥（不考虑目标操作系统），首先用于内存转储分析和法医使用。
powermft：强大的命令行$MFT记录编辑器。
stringsifter：机器学习工具，根据字符串与恶意软件分析的相关性自动排列字符串。
python-dissect.fve：Dissect模块实现了用于全卷加密实现的解析器，目前是微软的Bitlocker磁盘加密（BDE）和Linux统一密钥设置（LUKS1和LUKS2）。
pasco：检查Internet Explorer缓存文件的内容以供法医检查
perl-image-exiftool：支持原始文件的exif信息的读写器
extractusnjrnl：用于从NTFS卷提取$UsnJrnl的工具。