Tengo que encontrar información que pueda ubicarse en archivos en un disco duro. ¿Existen buenas herramientas para buscar palabras clave específicas (incluso en el área de espacio libre en el disco duro ;-), detectar archivos cifrados, detectar el tipo de archivo incorrecto, etc.?
Actualmente utilizo Windirstat para ver todos los tipos de archivos y abrir cada uno manualmente. Este proceso es muy largo y no es confiable.
¿Puede alguien proporcionar un método mejor?
Simplemente ejecutar comandos no es realmente una opción, le sugiero que eche un vistazo a este sitio web: enlace
Es un proyecto de la Unidad Federal Belga de Delitos Informáticos. Tienen un disco en vivo de Linux con herramientas forenses digitales. En las presentaciones puedes encontrar tutoriales sobre cómo encontrar cosas. Incluso en el espacio oculto que su disco duro no informa (por ejemplo, reemplace el firmware del disco duro de 1 TB para que se reporte como un disco duro de 750 GB).
Tenga en cuenta que debe verificar que cada archivo sea el archivo que aparenta ser y el espacio oculto de cada archivo.
Para las palabras clave, qué podría hacer, siempre que el disco no esté cifrado:
A continuación, activas la clave del usb, la canalizas a cadenas y grep para las palabras clave en keywords.txt así:
cat usbkey.dd | strings | egrep -i -f keywords.txt
Si desea conocer la posición en la clave del archivo:
cat usbkey.dd | strings -tx | egrep -i -f keywords.txt
El -tx en cadenas le dará el desplazamiento hexadecimal.
Le sugiero que eche un vistazo a la presentación forense en su sitio web, porque como dije, hay mucho más que eso.