za svoje potrebe sam do sada koristio par alata koji su se pokazali jako korisni
first and foremost - Volatility -
https://www.volatilesystems.com/default/volatility
(jako zanimljiv slucaj, putem firewire-a sam izvukao dump RAM memorije live sistema, a onda pommocu volatility-a iz rama iscupao true crypt key za kriptovanu particiju ciji sam dump vec imao)
onda neki file carver tipa scalpel i slicno za cupanje podataka s dumpovanih fajl sistema
naravno, EnCase je profesionalni i komercijalni alat, sa gooomilom pluginova za sve zivo
ovde :
http://www.cert.org/forensics/repository/
se nalazi fedora repo sa alatima za forenziku
istakao bih jos i xplico za analizu dump-ova mreznog saobracaja