Imagen forense

Una imagen forense (copia forense) es una copia directa bit a bit, sector por sector, de un dispositivo de almacenamiento físico, que incluye todos los archivos, carpetas y espacio no asignado, libre y escaso. Las imágenes forenses incluyen no solo todos los archivos visibles para el sistema operativo, sino también archivos eliminados y fragmentos de archivos que quedan en el espacio libre.  

Las imágenes forenses son un elemento de la informática forense, que es la aplicación de técnicas de investigación y análisis informáticos para reunir pruebas adecuadas para su presentación en un tribunal de justicia.

No todo el software de creación de imágenes y copia de seguridad crea imágenes forenses. La copia de seguridad de Windows, por ejemplo, crea copias de seguridad de imágenes que no son copias completas del dispositivo físico. Las imágenes forenses se pueden crear a través de software forense especializado. Algunas utilidades de imágenes de disco que no se comercializan para uso forense también crean imágenes de disco completas.

En el caso del delito cibernético, se pueden descubrir pruebas adicionales distintas de las que están disponibles a través de un sistema operativo en forma de datos incriminatorios que se han eliminado para evitar el descubrimiento. A menos que los datos se eliminen de forma segura y se sobrescriban, a menudo se pueden recuperar con software forense o de recuperación de archivos.

La creación y la copia de seguridad de una imagen forense ayuda a evitar la pérdida de datos debido a fallas en la unidad original. La pérdida de datos como prueba puede ser perjudicial para los casos legales. Las imágenes forenses también pueden prevenir la pérdida de archivos críticos en general.