Arriba


20 Mayo, 2021
Una imagen forense es la forma más común de mantener la evidencia de un sistema informático. Las imágenes forenses son copias bit a bit de un medio de almacenamiento de uno o varios archivos, es decir, se crea un archivo de imagen a partir de los originales, en donde no se modifican los metadatos, se conservan las propiedades como fechas y horas originales de los archivos y puede recuperarse información borrada del medio.


La imagen se crea en bloques y cada byte se copia en el bloque, incluidos los bytes no asignados, es por ello que en ocasiones a este proceso se le denomina, erróneamente, como imagen de flujo de bits o copia byte por byte; en otras ocasiones se pueden referir a la imagen forense como copia espejo, sin embargo esto no es correcto pues en términos técnicos, las copias espejo son aquellos sistemas que permiten replicar la información de un disco duro en uno idéntico, lo que hace que sea distinto a las imágenes forenses.

De esta forma, con la finalidad de asegurar que el contenido de un medio que se someterá a algún tipo de análisis forense no será dañado o modificado representando así un problema para el experto forense, se requiere realizar previo a cualquier análisis, la copia forense para el resguardo de la evidencia digital, siguiendo las mejores prácticas y normas al respecto.

De acuerdo con la norma ISO/IEC 27037 que establece las directrices para la identificación, recopilación, adquisición y preservación de evidencia digital, las mejores prácticas en el tratamiento de evidencia digital requieren que la obtención de la imagen forense se haga con el menor impacto posible. Además de ejecutar la lectura bit a bit en el medio original y su escritura en el medio de destino, se debe utilizar al menos un método de verificación probado mediante un algoritmo de digesto matemático o HASH, el cual se usa únicamente con fines de verificación.

El software empleado para hacer una imagen forense es indistinto en el resultado del producto final, no obstante, la elección del software puede tener un impacto importante en el tiempo de ejecución de la copia forense, actualmente existen softwares que permiten obtener una copia forense en un tiempo mínimo. DETEGO digital forensics cuenta con la herramienta de imágenes forenses más rápida del mundo: Detego® Ballistic Imager esta herramienta de imágenes forenses permite una imagen física completa en escenarios de tiempo crítico. Funciona en Windows, Mac y Linux y además cuenta con validación MD5, SHA1 y SHA256.

Autor :Equipo Expresión Forense