SIFT Ver3.0のSoftware Includeで他に気になる点として、ライブラリ関連を確認しておきたいと思います。SANS Blogに記載があるライブラリ関連は下記になっています。
libbde
https://code.google.com/p/libbde/
Library and tools to access the BitLocker Drive Encryption (BDE) format. The BDE format is used by Windows, as of Vista, to encrypt data on a storage media volume.
試した事がないですが、BitLockerのマウント用ライブラリという事ですね。Windows版のbdemountコマンドを使えば RAW イメージを指定した論理ドライブでマウントする事も可能みたいですね。
libesedb
https://code.google.com/p/libesedb/
Library and tools to access the Extensible Storage Engine (ESE) Database File (EDB) format.
EDBファイル用のライブラリということですね。基本的にはWindows Searchで使われているEDBファイルをターゲットにしているんでしょうかね?
libevt
https://code.google.com/p/libevt/
Library and tooling to access the Windows Event Log (EVT) format.
libevtx
https://code.google.com/p/libevtx/
Library and tooling to access the Windows XML Event Log (EVTX) format.
libevtとlibevtxはイベントログをパースするライブラリですが、両方とも共通してSYSTEMとSOFTWAREのレジストリ情報が必要という点がありますね。(メッセージの取り出しではEXEやDLLも必要ですけど)
libewf
https://code.google.com/p/libewf/
Libewf and tooling to access the Expert Witness Compression Format (EWF).
libewfはE01形式などのExpert Witness Compression Formatイメージをマウントするライブラリですが、サポートされている形式としては .E01 と .Ex01 がありますが、最新のEWF2(Ex01)については experimental versionで対応しているようで、圧縮や暗号化対応はこれからといった状況のようですね。LEF形式についてもサポートしているようで、L01とLx01の記載が確認できます。
libfvde
https://code.google.com/p/libfvde/
Library and tools to access FileVault Drive Encryption (FVDE) encrypted volumes
libvshadow
https://code.google.com/p/libvshadow/
Library and tools to access the Volume Shadow Snapshot (VSS) format.
libvshadowのサイトには、Snapshotに関する詳しい資料が提供されているので、これは参考資料の一つとして役立つものだと思います。
それぞれのライブラリのWikiに詳しく情報が載っていますので、ライブラリの仕組みだけでなく技術情報としても色々と参考になる点が多いですね。