ewfacquire - 云端在线

通过 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器在 OnWorks 免费托管服务提供商中运行 ewfacquire

这是 ewfacquire 命令，可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行，例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器

在 Ubuntu 中运行在 Fedora 中运行在 Windows Sim 中运行在 MACOS Sim 中运行

程序：

您的姓名

获取 — 以 EWF 格式获取数据

概要

获取 [-A 代码页[-b 扇区数[-B 字节数[-c 压缩值]
[-C 案件编号[-d 摘要类型[-D 描述[-e 考官姓名]
[-E 证据编号[-f 格式[-g 扇区数[-l 日志文件名]
[-m 媒体类型[-M 媒体标志[-N 笔记[-o 抵消[-p 进程缓冲区大小]
[-P 每个扇区的字节数[-r 读取错误重试[-S 段文件大小[-t 目标]
[-T 目录文件[-2 次要目标[-hqRsuvVwx] 资源

商品描述

获取是一个实用程序，从一个获取媒体数据资源并将其存储为 EWF 格式
（专家证人压缩格式）。获取以等效格式获取媒体数据
到 EnCase 和 FTK 成像器，包括元数据。在 Linux、FreeBSD、NetBSD、OpenBSD、
MacOS-X/达尔文获取支持直接从设备文件中读取。在其他平台上
获取可以将原始 (dd) 图像转换为 EWF 格式。

获取是的一部分 自由行 包。 自由行 是一个访问专家证人的图书馆
压缩格式 (EWF)。

资源源文件或设备

选项如下：

-A 代码页
标题部分的代码页，选项：ascii（默认）、windows-874、windows-932、
windows-936、windows-949、windows-950、windows-1250、windows-1251、windows-1252、
windows-1253、windows-1254、windows-1255、windows-1256、windows-1257或windows-1258

-b 扇区数
一次读取的扇区数（每个块），选项：16、32、64（默认），
128、256、512、1024、2048、4096、8192、16384或32768

-B 字节数
要获取的字节数

-c 压缩值
将压缩值指定为：level 或 method:level 压缩方法选项：
deflate（默认）、bzip2（bzip2 仅支持 EWF2 格式）压缩级别
选项：无（默认）、空块、快速或最佳

-C 案件编号
案例编号（默认为 case_number）

-d 摘要类型
计算除 md5 之外的其他摘要（散列）类型，选项：sha1、sha256

-D 描述
描述（默认为描述）

-e 考官姓名
审查员姓名（默认为审查员姓名）

-E 证据编号
证据编号（默认为evidence_number）

-f 格式
要写入的 EWF 文件格式，选项：ewf、smart、ftk、encase1、encase2、
encase3、encase4、encase5、encase6（默认）、encase7、linen5、linen6、linen7、ewfx。

-g 扇区数
用作错误粒度的扇区数

-h 显示此帮助

-l 日志文件名
将获取错误和摘要（哈希）记录到日志文件名

-m 媒体类型
媒体类型，选项：固定（默认）、可移动、光学、内存

-M 媒体标志
媒体标志，选项：逻辑、物理（默认）

-N 笔记
笔记（默认为笔记）

-o 抵消
开始获取的偏移量（默认为 0）

-p 进程缓冲区大小
进程缓冲区大小（默认为块大小）

-P 每个扇区的字节数
每个扇区的字节数（默认为 512）（使用它来覆盖自动
每扇区检测字节数）

-q 安静显示最少的状态信息

-r 读取错误重试
发生读取错误时的重试次数（默认为 2）

-R 在安全点恢复采集

-s 交换媒体数据的字节对（从 AB 到 BA）（将此用于大端到小端
转换，反之亦然）

-S 段文件大小
以字节为单位的段文件大小（默认为 1.4 GiB）（最小值为 1.0 MiB，最大值为
encase7.9 和 encase6 格式为 7 EiB，其他格式为 1.9 GiB）

-t 目标
要写入的目标文件（无扩展名）（默认为图像）

-T 目录文件
指定包含光盘目录 (TOC) 的文件。目录
文件必须是 CUE 格式。

-u 无人值守模式（禁用用户交互）

-v 详细输出到 stderr

-V 印刷版

-w 读取错误为零扇区（模仿 EnCase 之类的行为）

-x 使用块数据而不是缓冲的读写函数。

-2 次要目标
要写入的辅助目标文件（无扩展名）

获取将从文件或设备读取，直到遇到读取错误。读取错误
它将重试指定的重试次数。如果获取仍然无法阅读，如果
指定，它将归零（擦除）指定为错误的扇区数的剩余部分
粒度。如果获取应该模仿 EnCase 它将所有指定为的扇区归零
错误粒度。

空块压缩检测具有完全相同字节数据的扇区块，并且
使用默认压缩级别压缩它们。

encase6 和 encase7 格式允许大于 2 GiB 的段文件 (2147483648
字节）。

环境

没有

使用 onworks.net 服务在线使用 ewfacquire