Il s'agit de la commande ewfacquire qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
ewfacquis — acquiert des données au format EWF
SYNOPSIS
ewfacquis [-A page de code] [-b nombre_de_secteurs] [-B nombre_d'octets] [-c valeurs_compression]
[-C numéro de dossier] [-d digest_type] [-D la description] [-e nom_examinateur]
[-E numéro_preuve] [-f le format] [-g nombre_de_secteurs] [-l nom_fichier_journal]
[-m type de support] [-M médias_flags] [-N note] [-o compenser] [-p processus_buffer_size]
[-P octets_par_secteur] [-r read_error_retries] [-S taille_fichier_segment] [-t l'objectif]
[-T fichier_toc] [-2 cible_secondaire] [-hqRsuvVwx] source
DESCRIPTION
ewfacquis est un utilitaire pour acquérir des données multimédia à partir d'un source et le stocker au format EWF
(Format de compression de témoin expert). ewfacquis acquiert des données multimédias dans un format équivalent
à l'imageur EnCase et FTK, y compris les métadonnées. Sous Linux, FreeBSD, NetBSD, OpenBSD,
MacOS-X/Darwin ewfacquis prend en charge la lecture directement à partir des fichiers de l'appareil. Sur d'autres plateformes
ewfacquis peut convertir une image brute (dd) au format EWF.
ewfacquis fait partie de la libewf paquet. libewf est une bibliothèque pour accéder au témoin expert
Format de compression (EWF).
source le(s) fichier(s) ou périphérique source
Les options sont les suivantes :
-A page de code
la page de code de la section d'en-tête, options : ascii (par défaut), windows-874, windows-932,
Windows-936, Windows-949, Windows-950, Windows-1250, Windows-1251, Windows-1252,
windows-1253, windows-1254, windows-1255, windows-1256, windows-1257 ou windows-1258
-b nombre_de_secteurs
le nombre de secteurs à lire à la fois (par chunk), options : 16, 32, 64 (par défaut),
128, 256, 512, 1024, 2048, 4096, 8192, 16384 ou 32768
-B nombre_d'octets
le nombre d'octets à acquérir
-c valeurs_compression
spécifiez les valeurs de compression comme : niveau ou méthode : options de méthode de compression de niveau :
deflate (par défaut), bzip2 (bzip2 n'est pris en charge que par les formats EWF2) niveau de compression
options : aucune (par défaut), bloc vide, rapide ou meilleur
-C numéro de dossier
le numéro de dossier (la valeur par défaut est case_number)
-d digest_type
calculer des types de résumé (hachage) supplémentaires en plus de md5, options : sha1, sha256
-D la description
la description (la valeur par défaut est la description)
-e nom_examinateur
le nom de l'examinateur (par défaut est examinateur_name)
-E numéro_preuve
le numéro de preuve (la valeur par défaut est evidence_number)
-f le format
le format de fichier EWF dans lequel écrire, options : ewf, smart, ftk, encase1, encase2,
encase3, encase4, encase5, encase6 (par défaut), encase7, lin5, lin6, lin7, ewfx.
-g nombre_de_secteurs
le nombre de secteurs à utiliser comme granularité d'erreur
-h montre cette aide
-l nom_fichier_journal
enregistre les erreurs d'acquisition et le condensé (hachage) dans le nom du fichier journal
-m type de support
le type de support, options : fixe (par défaut), amovible, optique, mémoire
-M médias_flags
les drapeaux média, options : logique, physique (par défaut)
-N note
les notes (la valeur par défaut est les notes)
-o compenser
l'offset pour commencer à acquérir (la valeur par défaut est 0)
-p processus_buffer_size
la taille du tampon de processus (la valeur par défaut est la taille du bloc)
-P octets_par_secteur
le nombre d'octets par secteur (la valeur par défaut est 512) (utilisez-le pour remplacer le
octets par détection de secteur)
-q silencieux affiche des informations d'état minimales
-r read_error_retries
le nombre de tentatives lorsqu'une erreur de lecture se produit (la valeur par défaut est 2)
-R reprendre l'acquisition à un point sûr
-s échanger des paires d'octets des données multimédias (de AB à BA) (utiliser ceci pour big to little endian
conversion et vice versa)
-S taille_fichier_segment
la taille du fichier de segment en octets (la valeur par défaut est de 1.4 Gio) (le minimum est de 1.0 Mio, le maximum est
7.9 EiB pour les formats encase6 et encase7 et 1.9 Gio pour les autres formats)
-t l'objectif
le fichier cible (sans extension) dans lequel écrire (la valeur par défaut est l'image)
-T fichier_toc
spécifier le fichier contenant la table des matières (TOC) d'un disque optique. La table des matières
le fichier doit être au format CUE.
-u mode sans surveillance (désactive l'interaction de l'utilisateur)
-v sortie détaillée vers stderr
-V version imprimée
-w zéro secteur en cas d'erreur de lecture (imiter le comportement d'EnCase)
-x utilisez les données de bloc au lieu des fonctions de lecture et d'écriture mises en mémoire tampon.
-2 cible_secondaire
le fichier cible secondaire (sans extension) dans lequel écrire
ewfacquis lira à partir d'un fichier ou d'un périphérique jusqu'à ce qu'il rencontre une erreur de lecture. Sur erreur de lecture
il réessayera le nombre de tentatives spécifié. Si ewfacquis est toujours incapable de lire et, si
spécifié, il mettra à zéro (effacera) le reste du nombre de secteurs spécifié comme erreur
granularité. Si ewfacquis devrait imiter EnCase, il mettra à zéro tous les secteurs spécifiés comme
granularité des erreurs.
La compression de bloc vide détecte les blocs de secteurs avec entièrement les mêmes données d'octet et
les compresse en utilisant le niveau de compression par défaut.
Les formats encase6 et encase7 autorisent des fichiers de segments supérieurs à 2 Gio (2147483648
octets).
ENVIRONNEMENT
Aucun
Utiliser ewfacquire en ligne en utilisant les services onworks.net
