Forensicist

sleuthkit 3.1.0が2010/01/13付でリリースされていました。

主な変更点を確認したところ、HFS+が(正式に?)サポートされ、コマンド全般で-bオプションが採用されました。
この-bオプションでセクタサイズを指定できるとのことですが、どのようなケースで使うかは不明です。これまで
mmlsやistatで使われていた-bオプションは-Bに変更されています。

また、disk_sresetとdisk_statは使い物にならなくなった&hdparmで代用できるとのことでsleuthkitから除外されました。

その他詳細な変更点は以下で確認できます。

NEWS.txt
http://svn.sleuthkit.org/repos/sleuthkit/tags/sleuthkit-3.1.0/NEWS.txt

Developer-level Changesに気になる記述(- 2908510: Nanosecond resolution of timestamps is now available.)
があったので確認したところ、これまでtime_t型のみで扱っていたmactime関連用の変数に、ナノ秒ハンドリング用の
変数を増やして拡張したようです。対応するソースファイルはtsk3/fs/tsk_fs.hです。

(350-370行付近)
----
/* @@@ Need to make these 64-bits ... ? */
time_t mtime; ///< last file content modification time (stored in number of seconds since Jan 1, 1970 UTC)
uint32_t mtime_nano; ///< nano-second resolution in addition to m_time
time_t atime; ///< last file content accessed time (stored in number of seconds since Jan 1, 1970 UTC)
uint32_t atime_nano; ///< nano-second resolution in addition to a_time
time_t ctime; ///< last file / metadata status change time (stored in number of seconds since Jan 1, 1970 UTC)
uint32_t ctime_nano; ///< nano-second resolution in addition to c_time
time_t crtime; ///< Created time (stored in number of seconds since Jan 1, 1970 UTC)
uint32_t crtime_nano; ///< nano-second resolution in addition to cr_time

/* filesystem specific times */
union {
struct {
time_t dtime; ///< Linux deletion time
uint32_t dtime_nano; ///< nano-second resolution in addition to d_time
} ext2;
struct {
time_t bkup_time; ///< HFS+ backup time
uint32_t bkup_time_nano; ///< nano-second resolution in addition to bkup_time
} hfs;
} time2;
----

uint32_t *time_nanoという変数が今回追加された分です。このあたりの処理が現状各コマンドでどこまで
対応しているかはまだ調べていませんが、対応すれば、例えば削除済ファイルのナノ秒確認が容易になったりと
細かい点で便利になるかもしれません。

日本語訳manも若干更新しましたので参照される方はどうぞ。
http://www.kazamiya.net/sleuthkit