我的大部分取证工作都是在实验室环境中完成的，所以当我参与在线工作时为时已晚，即没有内存分析。

从历史上看，我会使用

1. 包住
2. 螺旋 LiveCD
3. 阿格斯

最近我开始远离这种组合并转向

1. 阿格斯
2. 尸检- 用于采集和系统分析
3. BackTrack（取证模式）
4. sed/awk/grep/last 等

在这两种情况下，采集都是使用适当的写入阻止程序执行的，我使用的大多数是由Tableau制作的。我转向 Autopsy 的一个原因是支持散列数据库，例如NSRL。另一个是它是免费的。EnCase 是一个很棒的工具，但价格昂贵。

我没有深入研究这个话题，但也许这个网站可能会对你有所帮助 - http://www2.opensourceforensics.org/home。

看看bulk_extractor，一个自动从磁盘映像中查找电子邮件地址、信用卡号和其他信息的程序。然后它会生成一个直方图，让您可以识别硬盘驱动器的主要用途和该人的主要联系人。它甚至可以搜索压缩文件。

我还没有通过提到的访问数据看到 FTK 。几年前我使用过 Encase 和 FTK，它们各有优缺点，但它是另一种商业支持和法院接受的取证工具。

我偏爱编写来自 weibetech 的拦截器，但对其他供应商没有太多经验。您可以查看NIST 验证的写入阻止程序。作为该网站，还有来自 NIST 取证工具测试的其他软件/硬件的验证报告。