また、JPCERT/CCさんもコアなドキュメントを公開しましたねぇ。

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は、2009年11月2日、技術メモ「MACtime からわかるファイル操作〜MACtime 証跡リストの作成とその読み解き〜」（PDF）を公開した。
MACtime の調査ツールから得られる、ファイル操作の実行時刻やその順序などの情報は、サーバーへの不正侵入時の被害調査や手口調査、マルウエア等の不正なプログラムのファイル操作調査などの場面において、ファイル操作の意図や背景の推測に活用できる。

http://japan.internet.com/webtech/20091102/5.html

参考文献が、このあたりなのはしょうがないんでしょうねぇ。

参考文献
[1] 渡辺 勝弘, 伊原 秀明著，不正アクセス調査ガイド，オライリー・ジャパン，2002年4月発行
[2] Dan Farmer, Wietse Venema著，Forensic Discovery，Addison-Wesley Professional，2005年1月発行

http://www.jpcert.or.jp/ed/2009/ed090002_20091102.pdf

JPCERT/CCの中の人みたい。

執筆者：宮粼 清隆

http://www.jpcert.or.jp/ed/2009/ed090002_20091102.pdf

宮粼 清隆
有限責任中間法人JPCERTコーディネーションセンター