sleuthkit 3.1.0が2010/01/13付でリリースされていました。
主な変更点を確認したところ、HFS+が(正式に?)サポートされ、コマンド全般で-bオプションが採用されました。この-bオプションでセクタサイズを指定できるとのことですが、どのようなケースで使うかは不明です。これまでmmlsやistatで使われていた-bオプションは-Bに変更されています。
また、disk_sresetとdisk_statは使い物にならなくなった&hdparmで代用できるとのことでsleuthkitから除外されました。
その他詳細な変更点は以下で確認できます。
NEWS.txt
http://svn.sleuthkit.org/repos/sleuthkit/tags/sleuthkit-3.1.0/NEWS.txt
Developer-level Changesに気になる記述(- 2908510: Nanosecond resolution of timestamps is now available.)があったので確認したところ、これまでtime_t型のみで扱っていたmactime関連用の変数に、ナノ秒ハンドリング用の変数を増やして拡張したようです。対応するソースファイルはtsk3/fs/tsk_fs.hです。
(350-370行付近)
----
/* @@@ Need to make these 64-bits ... ? */
time_t mtime; ///
uint32_t mtime_nano; ///
time_t atime; ///
uint32_t atime_nano; ///
time_t ctime; ///
uint32_t ctime_nano; ///
time_t crtime; ///
uint32_t crtime_nano; ///
/* filesystem specific times */
union {
struct {
time_t dtime; ///
uint32_t dtime_nano; ///
} ext2;
struct {
time_t bkup_time; ///
uint32_t bkup_time_nano; ///
} hfs;
} time2;
----
uint32_t *time_nanoという変数が今回追加された分です。このあたりの処理が現状各コマンドでどこまで対応しているかはまだ調べていませんが、対応すれば、例えば削除済ファイルのナノ秒確認が容易になったりと細かい点で便利になるかもしれません。
日本語訳manも若干更新しましたので参照される方はどうぞ。
http://www.kazamiya.net/sleuthkit
