La lista de programas que se suelen utilizar a la hora de análizar un incidente de seguridad es muy extensa y depende de cada situación, muchas veces son comandos típicos del sistema operativo, por lo que el comentario que aparece es mínimo, y solo hay que buscar en las páginas del manual para ver todas las opciones que pueden realizar.
grep Comando del sistema operativo empleado para la busqueda de cadenas en ficheros
strings Comando del sistema operativo que muestra los caracteres ASCII imprimibles de un fichero.
dd Comando del sistema operativo empleado para hacer copias a bajo nivel de dispositivos.
lsof Herramienta que permite análizar que ficheros o sockets están siendo usados en un equipo, con indicación de los procesos que los están empleando. Suele venir incorporada en los equipos Linux y *BSD.
rpm Programa de gestión del software instalado en los equipos, empleado en las distribuciones RedHat, Suse, Mandrake,..., en debian el programa dselect realiza funciones similares.
Tripwire Programa que genera diversas huellas criptográficas de los ficheros instalados en los equipos, pudiendo así verificar después que ficheros han sido modificados. la antigua versión académica se puede encontrar en ftp://ftp.rediris.es/mirror/coast/tools/unix
nc (netcat) Herramiente para la conexión de conexiones TCP/UDP entre equipos, se suele emplear para transmitir por la red los contenidos de los particiones/equipos atacados fácilmente.
The Coroner's Toolkit (tct) Conjunto de herramientas para realizar análisis en sistemas atacados, permiten recuperar ficheros borrados siempre que no hayan sido sobreescritos, calcular la integridad de los ficheros existentes en el equipo, consultar que ficheros han sido accedidos desde una determinada fecha, etc.
Ldasm Desensamblador de binarios Unix, genera un código ASM bastante "legible", indicando las llamadas al sistema que emplea un programa, lo que permite seguir la ejecución de algunos programas usados en diversos ataques.