アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

何故mac-robberなのか?

なぜ mac-robber をタイムスタンプの収集ツールとして選択されたのか特に解説がなかったので謎ですが、mac-robber のWebでの記載では、TSK が対応していない様なファイルシステムなどにおいてもタイムスタンプを収集することができ、mactime ツールに投入できる点がメリットとしてあげられています。
mac-robber を使うデメリットとしては、削除ファイルのエントリなどはタイムラインに含まれてこないので、アロケートされているファイルのみがタイムラインの対象となるという点ですかね。まぁ最近の UNIX 系のファイルシステムは削除ファイルのエントリについてはリカバリ困難だったりもするみたいですので、気にしなくてもよいのかもしれません。(Ext2fs などであれば mac-robber だけで収集するのは若干もったいない気もします)
Windows 系の FAT/NTFS など TSK で対応しているファイルシステムの場合には、TSK と Autopsy を使うことで、削除ファイルのエントリも含めてタイムラインを構成することができますので、そっちを使えということかもしれませんが。