取证是一个非常有趣的领域，因为它实际上都归结为侦探工作。首先找到面包屑，然后按照它们得出结论。你肯定有一个好的开始。正如评论者所提到的，该程序strings非常方便。它处理二进制文件以查找可打印的 ASCII 字符序列。使用它，您通常可以找到数据库或可执行文件的文本段，有时还可以找到非常方便的数据。

我还将尝试采取下一步措施，继续尝试实际的取证检查工具。Linux 工具Sleuthkit和 Web 界面 Autopsy 是完成此类工作的绝佳免费工具。您还需要更深入地了解称为文件雕刻的技术，以及此wiki 页面上列出的一些可用工具。由于良好的文件雕刻并不总是依赖于某些文件系统数据结构的完整性，因此您将能够找到比简单的取消删除更多的文件。

由于大多数优秀的免费工具都是基于 Linux 的，因此您需要有一个可以接受的工作环境。如果您不这样做，请尝试使用BackTrack LiveCD。它是一个专门为渗透测试人员设计的 Linux 发行版，在较小程度上供取证检查人员使用。它附带 Sleuthkit 和 Autopsy，以及大量文件雕刻和其他取证实用程序。

一种可能的可能性是直接写入磁盘上的扇区。它作为图像分发的事实使这看起来像是一个不错的可能性。在高中时，我和我的一个朋友设计了我们自己的登录系统，该系统依赖于存储在分区外磁盘上通常无法寻址的位置的密钥。对磁盘映像的二进制内容进行低级别审查将是寻找未初始化为 0 的任何内容的最后一步。