ewf-ntfs-files

EWF(Expert Witness Format) 디스크 이미지 파일(.e01, .ex01)에 포함된 NTFS 파티션의 파일 목록을 조회합니다. MFT 레코드를 파싱하여 파일 경로, 크기, 생성/수정/접근 일시, 파일 속성 등을 구조화된 필드로 출력합니다.

ewf-ntfs-files FILE_PATH

FILE_PATH: 조회할 EWF 디스크 이미지 파일의 경로. .e01 또는 .ex01 확장자를 가진 파일을 지원합니다. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다.

필드	타입	설명
`partition_guid`	문자열	파티션 GUID
`file_path`	문자열	파일의 전체 경로. 부모를 찾을 수 없으면 `<orphan>`으로 표시합니다.
`file_name`	문자열	파일 이름
`file_size`	64비트 정수	파일 크기 (바이트)
`in_use`	불리언	MFT 엔트리 사용 여부. `false`이면 삭제된 파일입니다.
`file_ctime`	날짜	파일 생성 시각 (`$FILE_NAME` 속성)
`file_mtime`	날짜	파일 수정 시각 (`$FILE_NAME` 속성)
`file_atime`	날짜	파일 접근 시각 (`$FILE_NAME` 속성)
`link_count`	32비트 정수	하드 링크 수
`is_readonly`	불리언	읽기 전용 여부
`is_hidden`	불리언	숨김 파일 여부
`is_system`	불리언	시스템 파일 여부
`is_archive`	불리언	아카이브 속성 여부
`is_device`	불리언	장치 파일 여부
`is_normal`	불리언	일반 파일 여부
`is_temp`	불리언	임시 파일 여부
`is_sparse`	불리언	스파스(sparse) 파일 여부
`is_reparse`	불리언	리파스 포인트(reparse point) 여부
`is_compressed`	불리언	압축 여부
`is_offline`	불리언	오프라인 여부
`is_indexed`	불리언	인덱싱 여부
`is_encrypted`	불리언	암호화 여부

해당 사항 없음

오류 코드	메시지	설명	후처리 동작
-	cannot load ewf image: PATH	EWF 이미지 파일을 읽을 수 없는 경우	쿼리 실행을 중단함
-	unsupported file extension: NAME	`.e01` 또는 `.ex01` 이외의 파일을 지정한 경우	쿼리 실행을 중단함

ewf-ntfs-files 명령어는 EWF 디스크 이미지 내부의 NTFS 파티션을 탐색하여 MFT 레코드를 조회합니다. 이미지 내 각 NTFS 파티션에 대해 MFT를 파싱하고 디렉터리 구조를 재구성하여 전체 파일 경로를 출력합니다.

부모 디렉터리를 찾을 수 없는 경우 경로에 <orphan>을 표시합니다. in_use 필드가 false인 레코드는 삭제된 파일을 나타냅니다.

EWF 이미지의 NTFS 파일 목록 조회
```
ewf-ntfs-files /opt/logpresso/evidence/disk.e01
```
EWF 이미지 내부 NTFS 파티션의 모든 파일 목록을 조회합니다.

삭제된 파일 목록 조회

ewf-ntfs-files /opt/logpresso/evidence/disk.e01
| search not(in_use) and not(is_dir)

삭제된 파일만 필터링합니다.

특정 확장자 파일 조회

ewf-ntfs-files /opt/logpresso/evidence/disk.e01
| search file_name == "*.exe"
| fields file_path, file_size, file_ctime, file_mtime

실행 파일(*.exe)만 필터링하여 경로, 크기, 생성/수정 시각을 조회합니다.

ewf-ntfs-files 명령어는 소나 4.0 이전 버전부터 제공되었습니다.