wmi-forensics

pdblaster：从大量可执行文件样本集中提取PDB文件路径。
peepdf：一个python工具，用于浏览PDF文件，以确定该文件是否有害。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
evtkit：修复获取的.evt-Windows事件日志文件（取证）。
networkminer：一种用于高级网络流量分析、嗅探器和包分析器的网络法医分析工具。
captipper：恶意HTTP流量浏览器工具。
swap-digger：一种工具，用于在开发后或取证过程中自动执行Linux交换分析。
ntfs-log-tracker：这个工具可以解析NTFS的$LogFile，$UsnJrnl。