В Sleuth Kit (https://www.sleuthkit.org/sleuthkit/download.php) вы можете использовать команду для создания базы данных SQLite из файла изображения. База данных SQLite содержит список всех папок и файлов, которые находятся в образе.
Для создания базы данных используется команда
tsk_loaddb -d tsk_loaddb.db -h 1568795_2020_5060_90_1_sofias_pc.001
Это дало мне базу данных SQLite. У меня вопрос, как узнать, какая папка и файл принадлежит какому разделу?
Таблица tsk_event_description содержит папки: 
В строке 169 я вижу, что есть только /. 
Таблица tsk_files содержит все файлы: 
Таблица tsk_vs_parts содержит список разделов: 
Таблица tsk_event_types содержит события: 
Таблица tsk_disk_info содержит информацию о размере сектора изображения: 
Таблица tsk_events Я думаю, когда папки изменяются?
Таблица tsk_file_layout имеет начальный и конечный бит для файлов: 
Таблица tsk_file_info содержит дополнительную информацию о файловой системе: 