FTK Imager磁盘镜像挂载神器，用于电子取证中将镜像、虚拟磁盘挂载为磁盘，方便直接进行取证

R-Studio是功能超强的数据恢复、反删除工具，大量参数设置让高级用户获得最佳恢复效果。含有RAID重组功能，可以虚拟重组的RAID类型包括，RAID0，RAID5，其中重组RAID5可以支持缺少一块硬盘。 电子取证实战竞赛必备工具！

小巧 300K左右 纯净

CTF必备取证神器 取证大师专业版 试用版

取证大师团队针对PC端微信新特性，实现了特定状态下的微信免扫码取证功能，取证人员无需额外操作即可完成微信数据的自动解析，Mac/Windows版本均可支持。由于文件太大了，就提供下载链接，亲测有用

2022年广东省中职网络安全赛项-数据分析取证 解析

GUI版 方便易用 可用于加解密数据库 forensic中可用

不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys

volatility_2.6_mac64_standalone.zip mac 版本，内存取证工具。亲测好用

内存取证三项镜像