鑑識工具很多，大概列幾個給大家參考 ：)

The Sleuth Kit(TSK)

．是一開放原始碼的軟體，C & Perl 所撰寫
．其中一版是The Coroner's Toolkit(TCT)，可偵測Unix或微軟作業系統的檔案及分割區，可協助鑑識人員進行檔案還原及映像檔(Image file)的製作，並且可顯示被Rootkit隱藏的檔案。
．TSK架構可分為四層架構可分為四層，分別是檔案系統層 分別是檔案系統層(Fil S eystem Layer)、資料層(Content Layer)、資料描述層(Metadata Layer ) 、使用者介面層(Human Interface Layer)。
．TSK還提供時間線(Time Line)與雜湊資料庫的功能，能找出檔案的mactime，及以MD5或SHA-1來檢測該檔案是
否為原始檔案，是一套完整的鑑識軟體。

EnCase

… ．商用軟體需付費
．圖形化操作介面
．支援Window、Linux (LinEn)
… ．可自行撰寫巨集

Forensic Toolkit (FTK)

．可自動萃取出windows office文件、email文件,並將之索引化
… ．密碼破解套件(windows office)
… ．僅適用windows
„

The coroner＇s Toolkit (TCT)

… ．UNIX作業系統

Helix

官方網站：https://www.e-fense.com/

Preview system information

顯示這部電腦的相關資訊、正在執行的程式。

Acquire a "live" image of a Windows System using dd

供使用者製作映像檔，在第二頁則提供鑑識映像檔、邏輯記憶體與實體記憶體的工具。

Incident Response Tools for Windows Systems

第一部分是針對具有揮發性（Volatile）的檔案做鑑識的工具，例如記錄當時電腦開機時的狀態
第二部分是許多雜項（MISC）的整合包，如檔案還原、電腦開關機的時間等，許多有趣的功能都可以在這裡找到，
第三部分是關於搜尋密碼的工具，除了會搜尋使用者儲存在系統中的密碼，還提供可檢視使用者上網瀏覽記錄、登錄檔內容的工具。

Browse contents of the CD-ROM and Host OS

此項目可協助檢視電腦檔案的各項資訊，MAC time、CRC、HASH…等。

Scan for Pictures from a live system

可找出使用者選取之資料夾中的全部圖片，就算是被使用者隱藏起來的圖片，依然可以偵測到並且顯示出來。

之所以提供這項功能，是因為有許多犯罪者會將病毒或是機密訊息藏入圖片內，這項功能能夠找出所有的圖片，但要偵測圖片中是否有隱藏訊息，則必須藉助別套軟體。

Investigative Notes

讓使用者輸入製作報告時所需的相關訊息，例如服務機關、調查者、案件號碼等等。

最後，在完成所有操作並關閉Helix的同時，會詢問是否要製作PDF檔，這個PDF檔會將從開啟Helix之後到關閉為止，在此軟體上的所有操作行為記錄下來。