Forensicist

JPCERT/CCからMACtimeに関する文書が公開されています。

MACtimeからわかるファイル操作 (Version 1)
http://www.jpcert.or.jp/ed/2009/ed090002_20091102.pdf

以下、内容に関連する疑問/感想です。

"5.2 MACtimeの調査でまず実施すべき作業"で、標準時など調査の基準になる時刻との差を調べておく、とありますが実際にどうする方法がベストでしょうか。一案として電波時計などの正確な時計と調査対象の時間両方が収まるように写真を撮るなどを思いつきますが..もっと良い方法があるかもしれません。

また、事例がatimeメインだったのでもう少しmtimeやctimeにも踏み込んで欲しかったです。最近はNtfsDisableLastAccessUpdate, noatimeやrelatimeが有効になってきているので、atimeに頼らない分析も考えていかなければならないように思います。

全体としては軽く浅くといった印象ですが、丁寧に書いてあるのですぐ読めてそれほど詳しくない人にも入りやすそうです。今後の改版にも期待。