MAC steht in der Linux Forensik für Modified, Accessed und Changed. Im Windows Lager bedeutet gilt Modified, Accessed und Created. Das Sleuthkit beinhaltet wichtige Werkzeuge, die dem Forensiker Auskunft darüber gibt was die Zeit geschlagen hat. Nun gibt es einen neuen Vertreter: den mac-robber.
Die beiden Programme fls und mactime liefern eine gruppierten oder ungruppierte Timeline für Dateien in einem Image. mac-robber kann anstelle von fls benutzt werden um Datei Informationen zu gemounteten Partitionen zu erstellen. Anschließend werden sie mit mactime aufbereitet.
Das Programm gibt es hier.
Installation: auspacken und mit make eine Binary erstellen. Anschließen nach /usr/local/sbin kopieren.
Ein Howto für Kursteilnehmer gibts hier.