LUKS форенсика

Неа, в этом и суть перемещения заголовка

Ну а там какая-нибудь «энтропия битов» и тому подобное?

Там используется TKS2, механизм антифорнсики, вот описалово первой версии:

https://mirrors.edge.kernel.org/pub/linux/utils/cryptsetup/LUKS_docs/TKS1-draft.pdf

Попробуй поискать описание TKS2 и отталкиваться от этого

Спс, почитаю

Недавно подобное обсуждали: Шифрование диска в линукс.

Есть подозрение? Файл забитый случайными данными, или же целый раздел/диск?

Если контейнер был правильно инициализирован — читай, правильно забито свободное место случайными данными — то маловероятно, в противном же случае, можно посмотреть по «дырам».

Если речь про файл — косвенно по метаданным обычно легко определить, для этого надо ковырять систему, а не сам контейнер. Если диск — остаётся только догадываться, может какая-нибудь полезная информация осталась в переназначенных секторах, данных SMART и т.д.

Если в целом криптопримитивы использовались надёжные(а если это именно LUKS, а не plain dm-crypt — то они надёжные), ломать мало смысла, а не сломав шифрование(атака водяными знаками, проверка повторяющихся паттернов(работает для слабых шифров вроде blowfish), т.д. т.п.)отличить случайные данные от шифротекста практически невозможно.

Лупа. Смотреть на сравнительную раздолбанность самого удобного USB-порта.