Escrito em Nim, então é muito fácil de programar, seguro em relação à memória, tão rápido quanto código C nativo e funciona como um único binário autônomo em qualquer SO.
Imprime as árvores de processos de processos maliciosos.
Divide timelines em CSV e JSONL.
Extração de endereços IP, domínios, hashes etc... para serem usados em consultas no VirusTotal
Consultas no VirusTotal de domínios, hashes e endereços IP.
Lista arquivos .evtx que ainda não podem ser detectados.
Visualiza TTPs com heatmaps no MITRE ATT&CK Navigator.
Empilhamento de linhas de comando, requisições DNS, logons, processos, serviços, tarefas etc...
Timelines para logons, uso de USB, processos suspeitos, tarefas etc...