prodump 可提取單獨某個進程的內存。https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
數字取證測試鏡像下載:http://dftt.sourceforge.net/或 https://www.cfreds.nist.gov
dd的Windows版本下載地址:http://www.chrysocome.net/dd
一、foremost文件恢復
取證模式
提取Windows7系統的磁盤鏡像:
恢復文件
二、autopsy
