使用文档+DumpIt+volatity 使用DumpIt获取物理内存，生成物理内存镜像文件，使用volatity对物理内存镜像文件进行分析

OS X审核员 OS X Auditor是免费的Mac OS X计算机取证工具。 OS X Auditor在正在运行的系统或您要分析的系统副本上解析并散列以下工件： 内核扩展 系统代理和守护程序 第三方的代理和守护程序 旧的和过时的系统以及第三方的启动项 用户的代理 用户的下载文件 已安装的应用程序 它提取： 用户的隔离文件 用户的Safari历史记录，下载，热门站点，LastSession，HTML5数据库和本地存储 用户的Firefox Cookie，下载，表单历史记录，权限，位置和登录 用户的Chrome历史记录和存档历史记录，Cookie，登录数据，热门网站，网络数据，HTML5数据库和本地存储 用户的社交和电子邮件帐户 已审核系统已连接到的WiFi接入点（并尝试对其进行地理位置定位） 它还会在.plist本身中查找可疑关键字。 它可以在以下位置验证每个文件的信誉：

注册表取证工具.zip分享给大家，请有需要的人学习下载，后续会更新各种网络安全工具，请关注

国外最好的反取证工具，可能用来清理系统痕迹，有需要的自行下载。

browsinghistoryview是一个读取Web浏览器（Internet Explorer、Mozilla Firefox、Google chrome和safari）历史数据实用程序，并在一个表中显示所有这些浏览器的网站浏览历史记录。