使用Winacq製作磁碟映像檔

EnCase從6.16版本開始,提供了命令行工具Winacq用於獲取E01鏡像文件,並且,該命令可以支持處理器多核、多線程獲取。Winacq命令使用參數如下:

-p 證據文件路徑
-m 證據文件名稱
-c 案例名稱
-e 調查員姓名
-r 證據編號
-d 壓縮方式(0=不壓縮,1=最快,2=最好,默認為0)
-n 備註
-s 最大文件大小(設置分隔大小,最小1MB,最大1048576MB,默認640MB)
-b 塊大小(默認64,最小1,最大1024)
-f 配置文件
-t 計算MD5值(默認true,可選true和false)
-l 計算SHA-1值(設置同上)
-wrk 設置工作線程數(默認10,最小1,最大20)
-rdr 設置讀取線程數(默認5,最小1,最大5)
-hsh 使用獨立線程計算散列
-dev 需獲取的物理磁盤的編號
-cdrom 指定獲取光驅
-vol 需獲取的卷標
-h 幫助信息

轉自 http://www.cnblogs.com/ysun/archive/2010/05/31/1748297.html

0 意見: