Befehlszeilenparameter
1) Sie können die Namen von Dateien, die Sie automatisch bei Programmstart öffnen möchten, einfach in der Kommandozeile angeben, wenn nötig incl. Pfad. Physische Datenträger können auch geöffnet werden, z. B. geben Sie :0 an für Festplatte 0.
2) Die Befehlszeile kann auch zum Ausführen von Scripts zum Editieren von Dateien verwendet werden. Geben Sie dazu den Namen einer .whs-Script-Datei an. Solche Dateien werden nicht geöffnet, sondern ausgeführt.
3) Die Befehlszeile kann auch zum Öffnen von Fällen verwendet werden. Geben Sie dazu den Namen der .xfc-Falldatei als ersten Parameter an. Sie können einem solchen Fall sogleich Images mit dem AddImage:-Befehl hinzufügen (s. u.).
4) X-Ways Forensics (nicht X-Ways Investigator) unterstützt Kommandozeilen-Syntax, die es ermöglicht, a) Fälle zu erzeugen, c) Datenträger-Sicherungen hinzuzufügen und c) den Datei-Überblick aller hinzugefügten Asservate zu erweitern. Beispiel:
xwforensics64.exe "NewCase:D:\Fall\Mein Fall" "AddImage:Z:\Images\*.e01" "AddImage:Z:\Images\Mein Image.dd" RVS:~
Wenn für den Fall kein Pfad angegeben ist, wird dieser im Standard-Fallverzeichnis angelegt. Die Anführungszeichen sind nur für Parameter mit Leerzeichen erforderlich. Wie Sie sehen, unterstützt der AddImage-Befehl Sternchen. It also supports optional sub-parameters to force interpretation of an image as either a physical, partitioned medium (P) or volume (V) and to force interpretation with a certain sector size, where the sector size is optional, e.g.
AddImage:#P#Z:\Images\*.dd
AddImage:#P,4096#Z:\Images\*.dd
If you dont specify these sub-parameters, a dialog window might pop up to ask the user for this input, but only in some very rare cases, only it not obvious to X-Ways Forensics from the data in the first few sectors what kind of image it is and if the image was not created by X-Ways Forensics or X-Ways Imager and if the image is not in .e01 evidence file format (e.g. raw image). Only if all three conditions are met at the same time plus you do not specify the sub-parameters, the dialog window will pop up.
Zur Erweiterung des Datei-Überblicks (Befehl "RVS:~") wird X-Ways Forensics standardmäßig dieselben Operationen anwenden, wie sie laut der Datei WinHex.cfg zuletzt zuvor auf einen völlig unverarbeiteten Datei-Überblick angewandt wurden. Text in Meldungsfenstern, die normalerweise vom Benutzer weggeklickt werden müssen, werden während der Abarbeitung der Parameter AddImage und RVS ins Nachrichtenfenster umgeleitet. Dialogfenster hingegen, sollte es welche geben, werden nach wie vor angezeigt.
5) Wenn Sie für unterschiedliche Fälle unterschiedliche Einstellungen verwenden möchten, müssen Sie diese Einstellungen in verschiedenen WinHex.cfg-Dateien (in verschiedenen Verzeichnissen oder unter unterschiedlichen Namen) speichern und vor der Ausführung von X-Ways Forensics die gewünschte Datei einsetzen. Oder aber Sie verwenden den Parameter "Cfg:", der den Namen der Konfigurationsdatei angibt, aus der X-Ways Forensics bei Programmstart liest und in die es bei Programmende schreibt, Nützlich in Situationen, in denen eine andere Konfiguration als normalerweise zum Einsatz kommen soll (nicht die in der Datei WinHex.cfg). Insbes. wenn sie für eine automatisierte Ausführung andere Einstellungen brauchen, wahrscheinlich gezielt dafür voher definierte, mit bestimmten ausgewählten DÜE-Operationen, oder wenn Sie die Rückfrage, ob eine zweite Instanz gestartet werden soll,zwar normalerweise schätzen, aber nicht während einer automatisierten Ausführung, bietet sich dieser Parameter an. Ein solcher Parameter sieht beispielhaft so aus: "Cfg:Meine andere Einstellung.cfg". Die Anführungszeichen sind nur dann erforderlich, wenn der Dateiname Leerzeichen enthält. Die Maximallänge beträgt 31 Zeichen. Derzeit werden nun ANSI/ASCII-Zeichen unterstützt. Command line parameters are usually processed in the order in which you specify them except the Cfg: parameter is processed before all the others, so it does not matter where it goes. Beachten Sie bitte auch, daß bestimmte Einstellungen in anderen Dateien gespeichert werden, z. B. "X-Tensions.txt" und "Unwanted Metadata.txt".
6) Es ist auch möglich, einen physischen Datenträger (z. B. eine lokal angeschlossene Festplatte oder eine über F-Response geöffnete Festplatte oder Hauptspeicher-Datenquelle eines Rechners im Netz) automatisch über die Befehlszeile zu sichern. Der erste Parameter muß mit einem Doppelpunkt starten und dann die Nummer des Geräts in Windows angeben (z. B. ":1" für Festplatte Nr. 1, d. h. die 2. Festplatte). Das bewirkt, daß die Festplatte sofort nach Programmstart automatisch geöffnet wird. Der zweite Parameter sollte mit einem senkrechten Strich beginnen, gefolgt entweder von "e01" oder "raw", was das gewünschte Image-Dateiformat angibt, gefolgt von einem weiteren senkrechten Strich und Name und Pfad des Images, und dann optional Beschreibung und Name des Bearbeiters (z. B. also "|e01|G:\Ausgabedateiname.e01|Meine Beschreibung|Mein Name"). Also dritter Parameter kann "auto" angegeben werden, um X-Ways Forensics nach Abschluß der Datenträger-Sicherung automatisch zu beenden.
7) Als letzten Parameter können Sie "auto" angeben, wenn sich X-Ways Forensics nach Abschluß aller Arbeiten selbständig beenden soll.