volatility3

pngcheck：通过检查CRC和解压缩图像数据来验证PNG、JNG和MNG文件的完整性。
dff：带有命令行和图形界面的取证框架。
truehunter：使用快速和内存高效的方法检测TrueCrypt容器。
mft2csv：提取$MFT记录信息并将其记录到csv文件中。
usbrip：Linux上跟踪USB设备的CLI取证工具
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
dftimewolf：协调法医收集、处理和数据导出的框架。
rcrdcarver：从一块数据中雕刻RCRD记录（$LogFile）。。