Simplemente ejecutar comandos no es realmente una opción, le sugiero que eche un vistazo a este sitio web: enlace
Es un proyecto de la Unidad Federal Belga de Delitos Informáticos. Tienen un disco en vivo de Linux con herramientas forenses digitales. En las presentaciones puedes encontrar tutoriales sobre cómo encontrar cosas. Incluso en el espacio oculto que su disco duro no informa (por ejemplo, reemplace el firmware del disco duro de 1 TB para que se reporte como un disco duro de 750 GB).
Tenga en cuenta que debe verificar que cada archivo sea el archivo que aparenta ser y el espacio oculto de cada archivo.
Para las palabras clave, qué podría hacer, siempre que el disco no esté cifrado:
- obtenga una copia binaria del disco, llamémosla usbkey.dd
- haga una lista de palabras clave como y llámela keywords.txt:
A continuación, activas la clave del usb, la canalizas a cadenas y grep para las palabras clave en keywords.txt así:
cat usbkey.dd | strings | egrep -i -f keywords.txt
Si desea conocer la posición en la clave del archivo:
cat usbkey.dd | strings -tx | egrep -i -f keywords.txt
El -tx en cadenas le dará el desplazamiento hexadecimal.
Le sugiero que eche un vistazo a la presentación forense en su sitio web, porque como dije, hay mucho más que eso.