Este es el comando ewfacquire que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
adquirir - adquiere datos en formato EWF
SINOPSIS
adquirir [-A página de código] [-b número_de_sectores] [-B número_de_bytes] [-c valores_compresión]
[-C número de caso] [-d tipo_digerido] [-D descripción] [-e nombre_examinador]
[-E número_de_evidencia] [-f formato] [-g número_de_sectores] [-l nombre_archivo_registro]
[-m tipo de medio] [-M banderas_media] [-N reconoce] [-o compensar] [-p tamaño_de_búfer_de_proceso]
[-P bytes_por_sector] [-r read_error_reintenta] [-S tamaño_archivo_segmento] [-t dirigidos]
[-T archivo_toc] [-2 objetivo_secundario] [-hqRsuvVwx] fuente
DESCRIPCIÓN
adquirir es una utilidad para adquirir datos multimedia de un fuente y almacenarlo en formato EWF
(Formato de compresión de testigos expertos). adquirir adquiere datos multimedia en un formato equivalente
a EnCase y al generador de imágenes FTK, incluidos los metadatos. Bajo Linux, FreeBSD, NetBSD, OpenBSD,
MacOS-X / Darwin adquirir admite la lectura directamente de los archivos del dispositivo. En otras plataformas
adquirir puede convertir una imagen sin procesar (dd) al formato EWF.
adquirir es parte del libertad Pack libertad es una biblioteca para acceder al testigo experto
Formato de compresión (EWF).
fuente el (los) archivo (s) fuente (s) o dispositivo
Las opciones son las siguientes:
-A página de código
la página de códigos de la sección de encabezado, opciones: ascii (predeterminado), windows-874, windows-932,
Windows-936, Windows-949, Windows-950, Windows-1250, Windows-1251, Windows-1252,
windows-1253, windows-1254, windows-1255, windows-1256, windows-1257 o windows-1258
-b número_de_sectores
el número de sectores para leer a la vez (por fragmento), opciones: 16, 32, 64 (predeterminado),
128, 256, 512, 1024, 2048, 4096, 8192, 16384 o 32768
-B número_de_bytes
la cantidad de bytes a adquirir
-c valores_compresión
especifique los valores de compresión como: nivel o método: nivel opciones del método de compresión:
deflate (predeterminado), bzip2 (bzip2 solo es compatible con los formatos EWF2) nivel de compresión
opciones: ninguno (predeterminado), bloque vacío, rápido o mejor
-C número de caso
el número de caso (el predeterminado es número de caso)
-d tipo_digerido
calcular tipos de resumen (hash) adicionales además de md5, opciones: sha1, sha256
-D descripción
la descripción (por defecto es descripción)
-e nombre_examinador
el nombre del examinador (el predeterminado es examiner_name)
-E número_de_evidencia
el número de evidencia (el valor predeterminado es número de evidencia)
-f formato
el formato de archivo EWF para escribir, opciones: ewf, smart, ftk, encase1, encase2,
encase3, encase4, encase5, encase6 (predeterminado), encase7, lino5, lino6, lino7, ewfx.
-g número_de_sectores
el número de sectores que se utilizarán como granularidad de error
-h muestra esta ayuda
-l nombre_archivo_registro
registra los errores de adquisición y el resumen (hash) en el nombre del archivo de registro
-m tipo de medio
el tipo de medio, opciones: fijo (predeterminado), extraíble, óptico, memoria
-M banderas_media
las banderas de medios, opciones: lógico, físico (predeterminado)
-N reconoce
las notas (por defecto son notas)
-o compensar
el desplazamiento para comenzar a adquirir (el valor predeterminado es 0)
-p tamaño_de_búfer_de_proceso
el tamaño del búfer del proceso (el valor predeterminado es el tamaño del fragmento)
-P bytes_por_sector
el número de bytes por sector (el predeterminado es 512) (utilícelo para anular la
bytes por detección de sector)
-q silencioso muestra información de estado mínima
-r read_error_reintenta
el número de reintentos cuando se produce un error de lectura (el valor predeterminado es 2)
-R reanudar la adquisición en un punto seguro
-s intercambie pares de bytes de los datos de medios (de AB a BA) (use esto para endian de grande a pequeño
conversión y viceversa)
-S tamaño_archivo_segmento
el tamaño del archivo de segmento en bytes (el valor predeterminado es 1.4 GiB) (el mínimo es 1.0 MiB, el máximo es
7.9 EiB para formato encase6 y encase7 y 1.9 GiB para otros formatos)
-t dirigidos
el archivo de destino (sin extensión) para escribir (el valor predeterminado es la imagen)
-T archivo_toc
especificar el archivo que contiene la tabla de contenido (TOC) de un disco óptico. El TOC
El archivo debe estar en formato CUE.
-u modo desatendido (deshabilita la interacción del usuario)
-v salida detallada a stderr
-V versión impresa
-w cero sectores en caso de error de lectura (imita el comportamiento de EnCase)
-x utilice el fragmento de datos en lugar de las funciones de lectura y escritura almacenadas en búfer.
-2 objetivo_secundario
el archivo de destino secundario (sin extensión) para escribir
adquirir leerá de un archivo o dispositivo hasta que encuentre un error de lectura. En error de lectura
volverá a intentar el número de reintentos especificado. Si adquirir todavía es incapaz de leer y, si
especificado, pondrá a cero (limpiará) el resto del número de sectores especificados como error
granularidad. Si adquirir debe imitar EnCase, pondrá a cero todos los sectores especificados como
granularidad del error.
La compresión de bloques vacíos detecta bloques de sectores con los mismos datos de bytes y
los comprime utilizando el nivel de compresión predeterminado.
El formato encase6 y encase7 permite archivos de segmento de más de 2 GiB (2147483648
bytes).
MEDIO AMBIENTE
Ninguna
Utilice ewfacquire en línea utilizando los servicios de onworks.net
