Imagem forense
O que é Imagem forense?
Imagem forenseCópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível.
A imagem forense produz uma réplica exata do suporte original (disco, partição, suporte amovível), incluindo espaço não alocado e slack, gravada em contentores como EWF/E01, AFF4 ou DD em bruto. O original é protegido por bloqueador de escrita por hardware ou software e a imagem é verificada por SHA-256 (ou MD5/SHA-1 em conjunto para compatibilidade), tornando detetável qualquer alteração. As práticas seguem a ISO/IEC 27037 e o NIST SP 800-86, registando hashes antes e depois e versões das ferramentas. Ferramentas comuns: FTK Imager, Guymager, dc3dd, EnCase e X-Ways. A imagem permite análises repetíveis sem alterar a origem.
● Exemplos
- 01
Aquisição de imagem E01 de um SSD suspeito com FTK Imager e bloqueador Tableau.
- 02
Captura de imagem AFF4 de um volume RAID em resposta in loco.
● Perguntas frequentes
O que é Imagem forense?
Cópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Imagem forense?
Cópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível.
Como se defender contra Imagem forense?
As defesas contra Imagem forense costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Imagem forense?
Nomes alternativos comuns: Imagem bit a bit, Imagem de disco.