タイムスタンプ自体は容易に変更が可能ですし、アンチフォレンジックツールとしては Timestomp があります。Timestomp は意図的に $FILE_NAME 属性のタイムスタンプはそのまま残して $SIA のみ変更してくれますが、$FILE_NAME のタイムスタンプとかまで引っ張ってくるフォレンジックツールは少ない気がしています。
マルウェアによってはタイムスタンプを変更するものもあったりしますし、タイムスタンプをそのまま完全に信用しては駄目というお話はありますね。
ファイルのタイムスタンプだけに限らず、様々なタイムスタンプとの比較などによって特異点などをタイムラインから洗い出す方法などについても、前回の IDF 分科会では話題に出ていました。
自分への戒めのために書いておくと、タイムスタンプは自分の意図している方向へと容易に当てはめて考えやすいので注意が必要ですね。なんとなく並びがおかしくなければ、自分の都合が良いように繋げて考えてしまう傾向が出るので注意と。