ファイルシステムにおけるタイムスタンプの分解能とか、ツールの精度によるかもしれませんが、サンプルの事例では secret.txt の Atime と cat の Atime は同時刻のため順序的にはアクセスされたファイルのほうが上に来ています。タイムラインを読む時はこの…

/etc/passwd とかは、システムも頻繁にアクセスするので、例えば不正アクセスの調査をするために〜とかで普通にログインすると、システムが /etc/passwd 読み込んで Atime が変化したりするのではないかという気もするんですが、それが不正アクセス者による…

mactime では-y オプションを指定することで、指定日付以降のタイムラインを出力する機能があるみたいですが、これは微妙なケースもありえますね。例えば仕込まれた悪意のあるツール（rootkitとか）が持つ Mtime が古い値だったりすると、指定した期間内のタ…

5.5 で mactime ツールを使ってタイムラインが構成されていますが、そのまま実行すると実行環境のタイムゾーンに合わせて日付情報を出力してくれるということですかね。mac-robber はそのまま UNIX タイムスタンプ値（EPOC time）を取ってくると思われるので…

資料では特に言及がないようですが、ジャーナルを利用するファイルシステムでは、-ro などのオプションでもジャーナルカウントか何かが一部更新されるというお話があった気がします。データそのものへの影響はないみたいですので、タイムスタンプの収集には…

なぜ mac-robber をタイムスタンプの収集ツールとして選択されたのか特に解説がなかったので謎ですが、mac-robber のWebでの記載では、TSK が対応していない様なファイルシステムなどにおいてもタイムスタンプを収集することができ、mactime ツールに投入で…

MACtime 証跡というか、タイムラインを構成するために、タイムスタンプの収集から並び替えまでの方法などを解説した資料がJPCERT/CCから公開されています。 技術メモ − MACtimeからわかるファイル操作 〜MACtime証跡リストの作成とその読み解き〜 http://www…