这是 ewfacquirestream 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
获取流 — 从标准输入中获取 EWF 格式的数据
概要
获取流 [-A 代码页[-b 扇区数[-B 字节数]
[-c 压缩值[-C 案件编号[-d 摘要类型[-D 描述]
[-e 考官姓名[-E 证据编号[-f 格式[-l 日志文件名]
[-m 媒体类型[-M 媒体标志[-N 笔记[-o 抵消]
[-p 进程缓冲区大小[-P 每个扇区的字节数[-S 段文件大小]
[-t 目标[-2 次要目标[-hqsvVx]
商品描述
获取流 是一种从标准输入获取媒体数据并将其存储为 EWF 格式的实用程序
(专家证人格式)。 获取流 以等效于的格式获取媒体数据
EnCase 和 FTK 成像器,包括元数据。 在 Linux、FreeBSD、NetBSD、OpenBSD、
MacOS-X/达尔文
获取流 是的一部分 自由行 包。 自由行 是一个访问专家的库
见证压缩格式 (EWF)。
选项如下:
-A 代码页
标题部分的代码页,选项:ascii(默认)、windows-874、windows-932、
windows-936、windows-949、windows-950、windows-1250、windows-1251、windows-1252、
windows-1253、windows-1254、windows-1255、windows-1256、windows-1257或windows-1258
-b 扇区数
一次读取的扇区数(每个块),选项:16、32、64(默认),
128、256、512、1024、2048、4096、8192、16384或32768
-B 字节数
要获取的字节数
-c 压缩值
将压缩值指定为:level 或 method:level 压缩方法选项:
deflate(默认)、bzip2(bzip2 仅支持 EWF2 格式)压缩级别
选项:无(默认)、空块、快速或最佳
-C 案件编号
案例编号(默认为 case_number)
-d 摘要类型
计算除 md5 之外的其他摘要(散列)类型,选项:sha1、sha256
-D 描述
描述(默认为描述)
-e 考官姓名
审查员姓名(默认为审查员姓名)
-E 证据编号
证据编号(默认为evidence_number)
-f 格式
要写入的 EWF 文件格式,选项:ftk、encase2、encase3、encase4、encase5、
encase6(默认)、encase7、linen5、linen6、linen7、ewfx。 自由行 不支持
其他 EWF 格式的流式写入。
-h 显示此帮助
-l 日志文件名
将获取错误和摘要(哈希)记录到日志文件名
-m 媒体类型
媒体类型,选项:固定(默认)、可移动、光学、内存
-M 媒体标志
媒体标志,选项:逻辑、物理(默认)
-N 笔记
笔记(默认为笔记)
-o 抵消
开始获取的偏移量(默认为 0)
-p 进程缓冲区大小
进程缓冲区大小(默认为块大小)
-P 每个扇区的字节数
每个扇区的字节数(默认为 512)
-q 安静显示最少的状态信息
-s 交换媒体数据的字节对(从 AB 到 BA)(将此用于大端到小端
转换,反之亦然)
-S 段文件大小
以字节为单位的段文件大小(默认为 1.4 GiB)(最小值为 1.0 MiB,最大值为
encase7.9 和 encase6 格式为 7 EiB,其他格式为 1.9 GiB)
-t 目标
要写入的目标文件(无扩展名)(默认为图像)
-v 详细输出到 stderr
-V 印刷版
-x 使用块数据而不是缓冲的读写函数。
-2 次要目标
要写入的辅助目标文件(无扩展名)
获取流 将从 stding 读取,直到遇到读取错误。 在读取错误时
将停止没有错误信息存储在 EWF 文件中。
空块压缩检测具有完全相同字节数据的扇区块,并且
使用默认压缩级别压缩它们。
环境
没有
使用 onworks.net 服务在线使用 ewfacquirestream
