| Autopsy | Анализ файловой системы, удалённых файлов, timeline | GUI-фронтенд к SleuthKit |
| SleuthKit (tsk) | CLI-анализ партиций, файлов, метаданных | fls, icat, mmls и др. |
| Plaso / log2timeline | Построение временных шкал на основе артефактов | Для Timesketch или вывода в CSV |
| bulk_extractor | Поиск email, URL, номеров карт и пр. | Быстрый поверхностный анализ |
| hashdeep / md5deep | Хеширование и сравнение файлов | Поиск совпадений с базами вредоносов |
| Binwalk | Поиск вложенных файлов/образов внутри бинарей | Для прошивок и подозрительных PE-файлов |
| foremost / scalpel | Карвинг удалённых файлов | Извлечение docs, jpg, pdf и пр. |
| ExifTool | Извлечение метаданных из фото, документов, PDF | Дата, автор, путь и пр. |
| TestDisk / PhotoRec | Восстановление удалённых разделов/файлов | Часто помогает при повреждённых образах |
| qemu-img | Конвертация .vdi в .raw / .qcow2 | Подготовка к запуску или анализу |
| losetup / mount / mmls | Монтирование образов вручную | Ручной доступ к разделам образа |