Lunes a Vienes 9:00 a 17:00 hrs
indigitoz@gmail.com
+52 5541401804

Tipos de Imágenes Forenses

27.03.2019

Actualmente existe una gran cantidad de formatos para la creación de imágenes forenses, sin embargo podríamos clasificarlos en dos grandes grupos de manera general

Los formatos "comprimido" y "sin comprimir"

Dentro de los cuales podemos identificar principalmente tres tipos DD, RAW y Exx (Expert Witness Format)

Sin Comprimir: El primer tipo son imágenes en bruto ya sea tipo DD o RAW, es decir, un disco de un Terabyte de capacidad, se almacenará en una imagen que ocupará un Terabyte de información. Es decir, el tamaño de la imagen resultante es exactamente el mismo que el de la unidad origen. Pero ¡OJO!, no se puede hacer una imagen DD o Exx sin comprimir, sobre un volumen lógico de un disco con el mismo tamaño que el de origen, ya que la tabla de particiones de destino ocupa un espacio, que reducirá el espacio disponible de dicho disco.

Comprimido. Luego están las imágenes Exx, por decirlo así, estas son imágenes "avanzadas" ya que disponen de una serie de características, que las dotan de mejoras técnicas, como la posibilidad de compresión de la imagen y recuperación ante fallo. El ejemplo más claro nos lo encontramos por ejemplo con un disco duro de un Terabyte de capacidad, que solamente tiene grabados datos distintos de 0 por tamaño de 100Gb, (espacio asignado, unallocated y espacio sin asignar), el resto de bits de ese disco duro (900Gb) están a cero, en esas condiciones si realizamos un clonado del disco o una imagen forense tipo RAW, copiaremos en el destino esos 900Gb de ceros, lo que no se antoja muy eficiente: ni por el tiempo que se tarda en la escritura de esos 900Gb en destino, ni por el espacio que nos hará falta para almacenar esa imagen. Por regla general, los discos duros de ordenadores personales, no suelen estar llenos de datos, incluso aunque exista mucho espacio "alojado". Este no suele ocupar el 100% del espacio disponible del disco, por lo que normalmente, un disco duro personal dispondrá de un buen "trozo" de ceros, este es el ejemplo más bizarro, pero los sistemas de compresión de imágenes forenses, también toman otras medidas que además permiten comprimir la parte de datos, lo que reduce aún más el espacio que ocupará la imagen forense.

Explicado de un modo más sencillo, el formato comprimido podría ser útil para adquirir la imagen forense de un disco duro de 1 Terabyte y llevarnos la copia forense en una memoria USB de 256 Gb.

Una vez obtenida la imagen forense de un medio de almacenamiento, ya estamos listos para la etapa de análisis, así podremos proceder al estudio de su contenido mediante otros programas y técnicas de investigación

Share
Indigitoz, Ecatepec, Edomex.
(+52) 55 4140 1804
Creado con Webnode
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar