Metadados de arquivo (por exemplo, data de criação, última modificação, etc) geralmente são uma questão do sistema de arquivos e, portanto, podem ser modificados usando várias ferramentas de software. De fato, alguns sistemas de arquivos nem rastreiam a data de criação (por exemplo, ext3 no linux rastreia ctime, que é na verdade um tempo de troca de inode). Os metadados rastreados também variam de sistema de arquivos para sistema de arquivos - alguns sistemas de arquivos permitirão o rastreamento do último acesso, da última modificação, etc.
A facilidade de alterar esse "tempo de criação" (ou modificado pela última vez, acessado pela última vez, etc) pode variar de sistema de arquivos para sistema de arquivos, mas em geral esses registros de tempo não são 100% confiáveis.
Eu imagino que em um ambiente de tribunal, uma parte tentaria sugerir que os últimos tempos modificados são bons devido ao fato de o usuário ter certa habilidade, outros tempos de arquivo correspondentes, etc, enquanto a parte adversária tentaria apontar que tempos de arquivo podem ser falsificados. Não está claro para mim de que lado conseguiria convencer um juiz ou júri sobre o que provavelmente aconteceu, a menos que se encontre uma espécie de "arma fumegante" que mostre inconsistências com os timestamps (por exemplo, dois arquivos criados na mesma data têm datas variadas, ou cópias do arquivo foram enviadas por e-mail antes da suposta data de criação, etc.).
Não tenho conhecimento de nenhuma metodologia de hardware para rastrear modificações.