undbx

memimager：使用ntsystemdebugcontrol执行内存转储。
python-dissect.regf：一个实现Windows注册表文件格式解析器的Dissect模块，用于在Windows操作系统上存储应用程序和操作系统配置。
evtkit：修复获取的.evt-Windows事件日志文件（取证）。
aimage：创建AFF图像的程序。
pasco：检查Internet Explorer缓存文件的内容以供法医检查
haystack：用于从进程内存堆分析内存结构取证中查找C结构的python框架。
python-dissect.xfs：一个实现XFS文件系统解析器的Dissect模块，通常由RedHat Linux发行版使用。
pextractor：一种取证工具，可以从由连接程序或类似程序创建的可执行文件中提取所有文件。