要点

fls: bodyfileの作成 mactime: bodyfileか日時情報などを抽出

fls

flsコマンドはディスクイメージ内のファイルとディレクトリの名前を列挙する。

fls -rl -m "/" -i raw /dev/sda1 > bodyfile.txt

-r recursive
-l ファイルの詳細をlongフォーマットで出力する。ただし、
　　　mオプションと同時に使用された場合は無効
-m　mactimeコマンドで使用できるデータを出力する。mntはマウントポイントとしてファイル名の先頭に付く。 
-i imagtype (raw, aff, afd, ewfなど)

mactime

mactimeコマンドはbodyファイルからファイルのタイムラインを作成する。

mactime -y -b bodyfile.txt > timeline.txt

-y: 日時をISO8601フォーマットで出力.(UTC)
-b: bodyファイルの場所
-d: カンマ区切りのデータを出力。(これがないと同じ時刻は空白になる?)