Das ist schwer zu sagen ohne etwas über den Arbeitsrechner zu wissen. Wenn es eine Stndardinstallation ist, dann reicht es die Timestamps zu editieren.
Das geht wie folgt mit PowerShell (Platzhalter natürlich ersetzen).
$(Get-Item test.doc).lastaccesstime=$(Get-Date "mm/dd/yyyy hh:mm am/pm")
Am sichersten ist die Methode von @hacked mit der Live Distro (gibt nämlich noch einen 4. Timestamp bei Windows, der von Forensikern verwendet wird). Hinterlässt keine Spuren (außer bei manchen BIOSes im Bootlog, aber ist meines Wissens nach unwahrshcienlich). Allerdings sind die Geräte die eine Erkennung für Filetransfers installiert haben, höchstwahrscheinlich auch mit einem BIOS-passwort ausgestattet.
Ubuntu/Kali mountet NTFS automatisch, ansonsten einfach
sudo fdisk -l
ausführen und Partition/Festplatte auswählen (wahrschein dev/sda1) und dann
mkdir /media/hdd && sudo mount -t ntfs -o nls=utf8,umask=0222 /dev/sda1 /media/hdd
Und in /media/hdd kannst du dann die Files verwenden.
USB Rubber Ducky und Co kannst gleich selber machen. Machen nichts anderes als Tastenanschläge durchzuschicken, sprich hinterlässt genau so viele Spuren wie Handarbeit.
Sollte es wirklich über drüber sicher zugehen (bezweifel ich stark), dann würde ich ein kleines Programm schreiben das sich in ein Programm injectet das auf die Files auch normal zugreift (bei Word-Dokumente zB Word.exe) und es dann rüber kopiert indem das File zuerst gelesen wird und dann wo anders hingeschrieben wird (also nicht CopyFile(), sondern ReadFile() -> WriteFile()).