ntfs-mft

NTFS 마스터 파일에서 파일 경로 및 이름, 파일 크기, 디스크 할당 크기, 파일 생성/수정/접근일시, 디렉터리 여부 등의 정보를 조회합니다. 조회한 데이터로 전체 파일 및 폴더 구조를 분석하거나 삭제된 파일이나 폴더를 추출할 수 있고, ADS(Alternate Data Stream) 은닉 정보를 탐색할 수 있습니다.

문법

ntfs-mft [zipcharset=CHARSET] [zippath=ZIPFILE_PATH] FILE_PATH
필수 매개변수
FILE_PATH
NTFS 마스터 파일의 경로. 파일 경로에 와일드카드(*)를 사용하면(예: D:\data\NTFS\*) 패턴과 일치하는 모든 파일을 한 번에 조회할 수 있습니다. zippath 옵션과 함께 사용하는 경우, ZIP 파일에 포함된 NTFS 마스터 파일의 경로를 입력하십시오.
선택 매개변수
zipcharset=CHARSET
ZIP 엔트리 인코딩 형식 (기본값: utf-8). 다음 문서에 등록된 Preferred MIME Name이나 Aliases를 사용합니다: https://www.iana.org/assignments/character-sets/character-sets.xhtml
zippath=ZIPFILE_PATH
ZIP 파일의 경로

설명

출력되는 필드 내용은 다음 표를 참조하십시오.

출력 필드
필드타입설명
no정수파일 번호
file_name문자열파일 이름
file_path문자열파일 경로
file_size정수파일 크기
alloc_size정수할당 크기
in_use불리언사용 여부
is_dir불리언디렉터리 여부
link_count정수해당 파일을 참조하는 하드링크 갯수
created_at날짜$FILE_NAME 속성의 생성일시
modified_at날짜$FILE_NAME 속성의 수정일시
access_at날짜$FILE_NAME 속성의 접근일시
mft_modified_at날짜$FILE_NAME 속성의 MFT 수정일시
std_created_at날짜$STANDARD_INFORMATION 속성의 생성일시
std_modified_at날짜$STANDARD_INFORMATION 속성의 수정일시
std_access_at날짜$STANDARD_INFORMATION 속성의접근일시
std_mft_modified_at날짜$STANDARD_INFORMATION 속성의 MFT 수정일시
is_readonly불리언읽기전용 여부
is_hidden불리언숨김 여부
is_system불리언시스템 여부
is_archive불리언아카이브 여부
is_device불리언장치 여부
is_normal불리언일반 여부
is_temp불리언임시 여부
is_sparse불리언sparse 파일 여부
is_reparse불리언reparse point 여부
is_compressed불리언압축 여부
is_offline불리언오프라인 여부
is_indexed불리언인덱스 여부
is_encrypted불리언암호화 여부
lsn정수로그 시퀀스 넘버
seq정수시퀀스
file_ref정수파일 레퍼런스
parent_file_ref정수부모 파일 레퍼런스
parent_no정수부모 파일 번호

사용 예

  1. 파일 경로를 입력하여 조회

    ntfs-mft D:\data\NTFS\test_MFT
    
  2. zippath 옵션으로 지정한 ZIP 파일에서 NTFS 마스터 파일을 조회

    ntfs-mft zippath=D:\data\NTFS.zip NTFS\test_MFT
    
  3. 삭제된 숨김 속성 파일 목록 조회

    ntfs-mft D:\data\NTFS\test_MFT
    | search not(in_use) and not(is_dir) and is_hidden