ewf-sectors
EWF(Expert Witness Format)ディスクイメージファイル(.e01、.ex01)からセクター単位でバイナリデータを取得します。ディスクイメージのロウデータ分析およびファイルシステム復旧に活用します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | カウントあり |
| 並列実行 | 非対応 |
| 分散実行 | 非対応 |
構文
ewf-sectors [offset=LONG] [limit=LONG] [pretty={t|f}] FILE_PATH
オプション
offset=LONG- 取得を開始するセクター番号。指定した数だけセクターをスキップして取得します。(デフォルト:
0) limit=LONG- 取得する最大セクター数。
0の場合はファイルの末尾まで取得します。(デフォルト:0) pretty={t|f}- 出力形式の指定。(デフォルト:
f)
t:dataフィールドを整形された16進数文字列で出力し、asciiフィールにASCII表現を追加します。f:dataフィールドをバイナリデータで出力します。
対象
FILE_PATH- 取得するEWFディスクイメージファイルのパス。
.e01または.ex01拡張子を持つファイルをサポートします。ワイルドカード(*)を使用して複数のファイルを指定できます。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_file | string | 元のEWFファイル名 |
sector | long | セクター番号(0から始まる) |
data | binary または string | セクターデータ。pretty=tの場合は16進数文字列、それ以外はバイナリ |
ascii | string | セクターデータのASCII表現。pretty=tの場合のみ出力されます |
エラーコード
解析エラー
| エラーコード | メッセージ | 説明 |
|---|---|---|
invalid-offset-number | - | offsetオプションの値が数値でない場合 |
invalid-limit-number | - | limitオプションの値が数値でない場合 |
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot load ewf image: PATH | EWFイメージファイルを読み取れない場合 | クエリを停止します |
| - | unsupported file extension: NAME | .e01または.ex01以外のファイルを指定した場合 | クエリを停止します |
説明
ewf-sectorsコマンドは、EWFディスクイメージファイルを順番に読み取り、各セクター(512バイト)のデータを出力します。offsetオプションで開始セクターを指定し、limitオプションで取得するセクター数を制限します。pretty=tオプションを指定すると、バイナリデータを16進数文字列(16バイト単位で改行)に変換してASCII表現を追加します。出力可能なASCII文字(0x20~0x7E)でない場合は.に置き換えられます。
使用例
-
EWFイメージの最初のセクターを取得する
ewf-sectors limit=1 /opt/logpresso/evidence/disk.e01ディスクイメージの最初のセクター(MBR領域)を取得します。
-
人が読みやすい形式でセクターを取得する
ewf-sectors offset=0 limit=10 pretty=t /opt/logpresso/evidence/disk.e01最初の10セクターを16進数およびASCII形式で取得します。
-
特定のオフセットからセクターを取得する
ewf-sectors offset=2048 limit=100 /opt/logpresso/evidence/disk.e01セクター2048から100セクターを取得します。