wmi-forensics

galleta：为了法医的目的检查IE的cookie文件的内容
python-dissect.executable：一个Dissect模块，为PE、ELF和Macho-O等各种可执行格式实现解析器。
truehunter：使用快速和内存高效的方法检测TrueCrypt容器。
powermft：强大的命令行$MFT记录编辑器。
afflib：一种可扩展的开放式格式，用于存储磁盘图像和相关的取证信息。
bmap-tools：使用块映射文件中的信息复制大量稀疏文件的工具。
pasco：检查Internet Explorer缓存文件的内容以供法医检查
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.