Це команда ewfacquire, яку можна запустити в постачальнику безкоштовного хостингу OnWorks, використовуючи одну з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
ewfacquire — отримує дані у форматі EWF
СИНТАКСИС
ewfacquire [-A кодова сторінка] [-b кількість_секторів] [-B кількість_байтів] [-c значення_стиснення]
[-C номер справи] [-d тип_дайджесту] [-D description] [-e ім'я_екзаменатора]
[-E номер_доказу] [-f формат] [-g кількість_секторів] [-l log_filename]
[-m тип медіа] [-M media_flags] [-N ноти] [-o зсув] [-p розмір_буфера_процесу]
[-P байт_на_сектор] [-r read_error_restry] [-S сегмент_розмір_файлу] [-t мета]
[-T toc_file] [-2 вторинна_ціль] [-hqRsuvVwx] джерело
ОПИС
ewfacquire це утиліта для отримання медіа-даних від a джерело і зберігати його у форматі EWF
(Формат стиснення Expert Witness). ewfacquire отримує медіадані в еквівалентному форматі
в EnCase і FTK, включаючи метадані. Під Linux, FreeBSD, NetBSD, OpenBSD,
MacOS-X/Darwin ewfacquire підтримує читання безпосередньо з файлів пристрою. На інших платформах
ewfacquire може конвертувати необроблене зображення (dd) у формат EWF.
ewfacquire є частиною libewf пакет. libewf це бібліотека для доступу до Expert Witness
Формат стиснення (EWF).
джерело вихідний(і) файл(и) або пристрій
Варіанти такі:
-A кодова сторінка
кодова сторінка розділу заголовка, параметри: ascii (за замовчуванням), windows-874, windows-932,
windows-936, windows-949, windows-950, windows-1250, windows-1251, windows-1252,
windows-1253, windows-1254, windows-1255, windows-1256, windows-1257 або windows-1258
-b кількість_секторів
кількість секторів для читання за один раз (на блок), параметри: 16, 32, 64 (за замовчуванням),
128, 256, 512, 1024, 2048, 4096, 8192, 16384 або 32768
-B кількість_байтів
кількість байтів для отримання
-c значення_стиснення
вкажіть значення стиснення як: рівень або method:level параметри методу стиснення:
deflate (за замовчуванням), bzip2 (bzip2 підтримується лише форматами EWF2) рівень стиснення
параметри: немає (за замовчуванням), порожній блок, швидко або найкраще
-C номер справи
номер справи (за замовчуванням номер_справи)
-d тип_дайджесту
обчислити додаткові типи дайджесту (хешів), крім md5, параметри: sha1, sha256
-D description
опис (за замовчуванням є опис)
-e ім'я_екзаменатора
ім'я екзаменатора (за замовчуванням - examiner_name)
-E номер_доказу
номер доказу (за замовчуванням є evidence_number)
-f формат
формат файлу EWF для запису, параметри: ewf, smart, ftk, encase1, encase2,
encase3, encase4, encase5, encase6 (за замовчуванням), encase7, linen5, linen6, linen7, ewfx.
-g кількість_секторів
кількість секторів, які будуть використані для визначення деталізації помилок
-h показує цю допомогу
-l log_filename
реєструє помилки отримання та дайджест (хеш) до імені файлу журналу
-m тип медіа
тип носія, параметри: фіксований (за замовчуванням), знімний, оптичний, пам'ятний
-M media_flags
прапорці медіа, параметри: логічний, фізичний (за замовчуванням)
-N ноти
нотатки (за умовчанням примітки)
-o зсув
зсув для початку отримання (за замовчуванням 0)
-p розмір_буфера_процесу
розмір буфера процесу (за замовчуванням є розмір блоку)
-P байт_на_сектор
кількість байтів на сектор (за замовчуванням 512) (використовуйте це, щоб замінити автомат
виявлення байтів на сектор)
-q тихий показує мінімальну інформацію про стан
-r read_error_restry
кількість повторних спроб, коли виникає помилка читання (за замовчуванням 2)
-R відновити отримання в безпечному місці
-s поміняти місцями пари байтів медіаданих (від AB до BA) (використовуйте це для великого і малого байтів
перетворення і навпаки)
-S сегмент_розмір_файлу
розмір файлу сегмента в байтах (за замовчуванням – 1.4 ГіБ) (мінімум – 1.0 МБ, максимальний –
7.9 EiB для форматів encase6 і encase7 і 1.9 GiB для інших форматів)
-t мета
цільовий файл (без розширення) для запису (за замовчуванням – зображення)
-T toc_file
вкажіть файл, що містить зміст (TOC) оптичного диска. TOC
файл має бути у форматі CUE.
-u режим без нагляду (вимикає взаємодію з користувачем)
-v докладний вихід у stderr
-V друкована версія
-w нуль секторів при помилці читання (імітувати поведінку EnCase)
-x використовувати дані фрагмента замість буферизованих функцій читання та запису.
-2 вторинна_ціль
вторинний цільовий файл (без розширення) для запису
ewfacquire буде читати з файлу або пристрою, доки не зіткнеться з помилкою читання. При помилці читання
він повторить вказану кількість повторів. Якщо ewfacquire все ще не вміє читати і, якщо
вказано, він обнуляє (стере) залишок кількості секторів, зазначених як помилку
зернистість. Якщо ewfacquire має імітувати EnCase, він обнуляє всі сектори, зазначені як
деталізацію помилок.
Стиснення порожнього блоку виявляє блоки секторів з абсолютно однаковими даними байтів і
стискає їх, використовуючи рівень стиснення за замовчуванням.
Формати encase6 та encase7 дозволяють зберігати сегментні файли розміром більше 2 гіБ (2147483648
байтів).
НАВКОЛИШНЄ СЕРЕДОВИЩЕ
ніхто
Використовуйте ewfacquire онлайн за допомогою служб onworks.net
