myrescue

indxcarver：从一块数据中雕刻INDX记录。
unhide：A forensic tool to find processes hidden by rootkits, LKMs or by other techniques.
dfir-ntfs：用于数字取证的NTFS解析器&；事件响应。
mobiusft：一个用python/gtk编写的开源法医框架，用于管理案例和案例项，为开发扩展提供了一个抽象接口。
chkrootkit：检查系统上的rootkit
mftcarver：从数据块（例如内存转储）中雕刻$MFT记录。
usnjrnl2csv：NTFS上$UsnJrnl的解析器。
peepdf：一个python工具，用于浏览PDF文件，以确定该文件是否有害。