Imagen forense
¿Qué es Imagen forense?
Imagen forenseCopia bit a bit de un soporte de almacenamiento, verificada con hashes criptográficos, para análisis forense y como evidencia admisible.
La imagen forense produce una réplica exacta del soporte original (disco, partición, unidad extraíble), incluyendo espacio no asignado y slack, en un contenedor como EWF/E01, AFF4 o DD bruto. El original se protege con un bloqueador de escritura por hardware o software y la imagen se verifica mediante SHA-256 (o MD5/SHA-1 emparejados para compatibilidad), de forma que cualquier alteración sea detectable. Las prácticas siguen ISO/IEC 27037 y NIST SP 800-86, registrando hashes antes y después y documentando versiones de herramientas. Herramientas habituales: FTK Imager, Guymager, dc3dd, EnCase y X-Ways. La imagen permite repetir análisis sin modificar el original.
● Ejemplos
- 01
Adquisición de imagen E01 de un SSD sospechoso con FTK Imager y bloqueador Tableau.
- 02
Imagen AFF4 de un volumen RAID durante respuesta in situ.
● Preguntas frecuentes
¿Qué es Imagen forense?
Copia bit a bit de un soporte de almacenamiento, verificada con hashes criptográficos, para análisis forense y como evidencia admisible. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Imagen forense?
Copia bit a bit de un soporte de almacenamiento, verificada con hashes criptográficos, para análisis forense y como evidencia admisible.
¿Cómo defenderse de Imagen forense?
Las defensas contra Imagen forense combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Imagen forense?
Nombres alternativos comunes: Imagen bit a bit, Imagen de disco.