Dies ist der Befehl ewfacquire, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ewfacquire – erfasst Daten im EWF-Format
ZUSAMMENFASSUNG
ewfacquire [-A Codepage] [-b Anzahl_von_Sektoren] [-B Anzahl_von_Bytes] [-c Kompressionswerte]
[-C Fallnummer] [-d Digest_Typ] [-D Beschreibung] [-e Prüfername]
[-E Beweisnummer] [-f Format] [-g Anzahl_von_Sektoren] [-l log_dateiname]
[-m Medientyp] [-M media_flags] [-N merkt an] [-o Offset] [-p Prozesspuffergröße]
[-P Bytes_pro_Sektor] [-r read_error_retries] [-S segment_file_size] [-t Ziel]
[-T toc_file] [-2 sekundäres_Ziel] [-hqRsuvVwx] Quelle
BESCHREIBUNG
ewfacquire ist ein Dienstprogramm zum Erfassen von Mediendaten von einem Quelle und speichern Sie es im EWF-Format
(Expert Witness-Komprimierungsformat). ewfacquire erfasst Mediendaten in einem äquivalenten Format
an EnCase und FTK-Imager, inklusive Metadaten. Unter Linux, FreeBSD, NetBSD, OpenBSD,
MacOS-X/Darwin ewfacquire unterstützt das direkte Lesen aus Gerätedateien. Auf anderen Plattformen
ewfacquire kann ein Rohbild (dd) in das EWF-Format konvertieren.
ewfacquire ist in der libewf Paket. libewf ist eine Bibliothek für den Zugriff auf den Sachverständigenzeugen
Komprimierungsformat (EWF).
Quelle die Quelldatei(en) oder das Gerät
Die Optionen sind wie folgt:
-A Codepage
die Codepage des Header-Abschnitts, Optionen: ASCII (Standard), Windows-874, Windows-932,
Windows-936, Windows-949, Windows-950, Windows-1250, Windows-1251, Windows-1252,
Windows-1253, Windows-1254, Windows-1255, Windows-1256, Windows-1257 oder Windows-1258
-b Anzahl_von_Sektoren
die Anzahl der gleichzeitig zu lesenden Sektoren (pro Chunk), Optionen: 16, 32, 64 (Standard),
128, 256, 512, 1024, 2048, 4096, 8192, 16384 oder 32768
-B Anzahl_von_Bytes
die Anzahl der zu erfassenden Bytes
-c Kompressionswerte
Geben Sie die Komprimierungswerte an als: Level oder Methode:Level Komprimierungsmethode Optionen:
deflate (Standard), bzip2 (bzip2 wird nur von EWF2-Formaten unterstützt) Komprimierungsstufe
Optionen: keine (Standard), leerer Block, schnell oder am besten
-C Fallnummer
die Fallnummer (Standard ist case_number)
-d Digest_Typ
Berechnen zusätzlicher Digest-(Hash-)Typen neben MD5, Optionen: sha1, sha256
-D Beschreibung
die Beschreibung (Standard ist Beschreibung)
-e Prüfername
der Prüfername (Standard ist Prüfername)
-E Beweisnummer
die Beweisnummer (Standard ist Beweisnummer)
-f Format
das EWF-Dateiformat, in das geschrieben werden soll, Optionen: ewf, smart, ftk, encase1, encase2,
encase3, encase4, encase5, encase6 (Standard), encase7, Linen5, Linen6, Linen7, ewfx.
-g Anzahl_von_Sektoren
die Anzahl der Sektoren, die als Fehlergranularität verwendet werden sollen
-h zeigt diese Hilfe
-l log_dateiname
Protokolliert Erfassungsfehler und den Digest (Hash) im Protokolldateinamen
-m Medientyp
der Medientyp, Optionen: fest (Standard), entfernbar, optisch, Speicher
-M media_flags
die Medienflags, Optionen: logisch, physisch (Standard)
-N merkt an
die Notizen (Standard ist Notizen)
-o Offset
der Offset, um mit der Erfassung zu beginnen (Standard ist 0)
-p Prozesspuffergröße
die Größe des Prozesspuffers (Standard ist die Blockgröße)
-P Bytes_pro_Sektor
die Anzahl der Bytes pro Sektor (Standard ist 512) (verwenden Sie diese Option, um die automatische zu überschreiben
Bytes pro Sektorerkennung)
-q quiet zeigt minimale Statusinformationen an
-r read_error_retries
die Anzahl der Wiederholungsversuche, wenn ein Lesefehler auftritt (Standard ist 2)
-R Nehmen Sie die Aufnahme an einem sicheren Punkt wieder auf
-s Bytepaare der Mediendaten tauschen (von AB nach BA) (verwenden Sie dies für Big-Endian
Umwandlung und umgekehrt)
-S segment_file_size
die Segmentdateigröße in Byte (Standard ist 1.4 GiB) (Minimum ist 1.0 MiB, Maximum ist
7.9 EiB für die Formate encase6 und encase7 und 1.9 GiB für andere Formate)
-t Ziel
die Zieldatei (ohne Erweiterung), in die geschrieben werden soll (Standard ist Bild)
-T toc_file
Geben Sie die Datei an, die das Inhaltsverzeichnis (TOC) einer optischen Disc enthält. Das Inhaltsverzeichnis
Die Datei muss im CUE-Format vorliegen.
-u unbeaufsichtigter Modus (deaktiviert die Benutzerinteraktion)
-v ausführliche Ausgabe nach stderr
-V Druckversion
-w Keine Sektoren bei Lesefehler (ahmen EnCase-ähnliches Verhalten nach)
-x Verwenden Sie die Chunk-Daten anstelle der gepufferten Lese- und Schreibfunktionen.
-2 sekundäres_Ziel
die sekundäre Zieldatei (ohne Erweiterung), in die geschrieben werden soll
ewfacquire liest von einer Datei oder einem Gerät, bis ein Lesefehler auftritt. Bei Lesefehler
Es wird die angegebene Anzahl von Wiederholungen wiederholen. Wenn ewfacquire ist immer noch nicht in der Lage zu lesen und, wenn
angegeben, wird der Rest der als Fehler angegebenen Anzahl von Sektoren auf Null gesetzt (gelöscht).
Die Granularität. Wenn ewfacquire Sollte EnCase imitieren, werden alle angegebenen Sektoren auf Null gesetzt
Fehlergranularität.
Die Komprimierung leerer Blöcke erkennt Sektorblöcke mit vollständig gleichen Bytedaten und
komprimiert sie mit der Standardkomprimierungsstufe.
Das encase6- und encase7-Format ermöglicht Segmentdateien mit mehr als 2 GiB (2147483648).
Bytes).
Non
Nutzen Sie ewfacquire online über die Dienste von onworks.net
