EnCase从6.16版本开始,提供了命令行工具Winacq用于获取E01镜像文件,并且,该命令可以支持处理器多核、多线程获取。Winacq命令使用参数如下:
-p 证据文件路径
-m 证据文件名称
-c 案例名称
-e 调查员姓名
-r 证据编号
-d 压缩方式(0=不压缩,1=最快,2=最好,默认为0)
-n 备注
-s 最大文件大小(设置分隔大小,最小1MB,最大1048576MB,默认640MB)
-b 块大小(默认64,最小1,最大1024)
-f 配置文件
-t 计算MD5值(默认true,可选true和false)
-l 计算SHA-1值(设置同上)
-wrk 设置工作线程数(默认10,最小1,最大20)
-rdr 设置读取线程数(默认5,最小1,最大5)
-hsh 使用独立线程计算散列
-dev 需获取的物理磁盘的编号
-cdrom 指定获取光驱
-vol 需获取的卷标
-h 帮助信息