wmi-forensics

undbx：从Outlook Express DBX文件中提取电子邮件。
peepdf：一个python工具，用于浏览PDF文件，以确定该文件是否有害。
haystack：用于从进程内存堆分析内存结构取证中查找C结构的python框架。
stenographer：一种包捕获解决方案，其目的是快速地将所有包假脱机到磁盘上，然后提供对这些包的子集的简单、快速的访问。
exiv2：exif、iptc和xmp元数据操作库和工具
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
truehunter：使用快速和内存高效的方法检测TrueCrypt容器。
munin-hashchecker：用于Virustotal和其他服务的联机哈希检查程序