¿Qué es una imagen forense? ¿Qué es un clon? ¿En qué se diferencia una Imagen Forense de un Clon? Estas son preguntas que abordamos con frecuencia en Capsicum. Aunque a primera vista esto parece ser fácil de responder, es mucho más matizado de lo que podrías imaginar. A lo largo de los años se han utilizado muchos términos para describir una Imagen Forense versus un Clon y el proceso de hacer una copia de seguridad forense. Términos como imagen espejo, copia exacta, imagen de flujo de bits, duplicación de discos, clonación de discos y duplicación han hecho que sea cada vez más difícil entender qué se está produciendo o solicitando exactamente.
En términos generales, las copias de seguridad forenses se logran capturando todos los datos de un medio de origen (computadoras, teléfonos celulares, tabletas, etc.).) de una manera forense sólida para que todos los datos originales estén en un estado inalterado. Esto significa que se recopila todo el contenido de los medios de origen, incluido el espacio no utilizado, todos los datos de slack, todo el espacio no asignado y otros medios.
¿Cómo se distingue una Imagen de un Clon?
Una imagen forense es un duplicado completo de medios electrónicos, como una unidad de disco duro. Los artefactos (Información o datos creados como resultado del uso de dispositivos electrónicos que muestran actividad pasada), como archivos eliminados, fragmentos de archivos eliminados y datos ocultos, se pueden encontrar en slack (espacio no utilizado que se crea entre el marcador de fin de archivo y el extremo del clúster de disco duro en el que se almacena el archivo y el espacio no asignado (La parte no utilizada de un disco duro). Este duplicado exacto de los datos se denomina copia bit a bit del medio de origen y se denomina Imagen. Las imágenes son instantáneas petrificadas, que se utilizan para el análisis y la preservación de la evidencia. Las imágenes no se pueden utilizar como copias de trabajo.
Un Clon forense también es un duplicado completo de medios electrónicos, como una unidad de disco duro. Los artefactos, como archivos eliminados, fragmentos de archivos eliminados y datos ocultos, se pueden encontrar en su espacio holgado y sin asignar. Este duplicado exacto de los datos se denomina copia bit a bit del medio de origen y se denomina Clon. Los clones son instantáneas que funcionan, que son modificables y no necesariamente conservadas. Los clones se utilizan como copias de trabajo para reemplazar la evidencia original con fines de análisis y preservación de datos.
Un hash (Un esquema de detección de errores que realiza el cálculo del valor binario del paquete/marco y luego se añade al paquete/marco como un campo de longitud fija. Una vez que se recibe el paquete/marco, se realiza un cálculo similar. Si el resultado no coincide con el primer cálculo, se produjo un cambio de datos durante la transmisión. El cálculo puede ser una suma (Suma de comprobación), un resto de una división o el resultado de una función de hash) de un dispositivo original que puede validar si el medio es un duplicado exacto (copia de sonido forense). Cualquier variación en el valor hash de un original a su Clon o Imagen confirmará que no son copias exactas. Esto es de importancia para saber cuando se trata de asuntos legales.
¿Por qué es importante en su bufete de abogados para un caso legal?
Mientras que un clon se puede usar para el análisis forense digital, generalmente se usa para crear copias de trabajo o unidad de reemplazo exacta.
Las imágenes se utilizan principalmente para analizar de forma forense y preservar los datos originales. Están petrificados y en su formato de imagen no se pueden modificar.
Capsicum recientemente tuvo un caso muy relacionado con este tema. A un abogado se le hizo creer que una Imagen y un Clon eran lo mismo. El abogado pidió una imagen para poder revisar archivos de una computadora. Los expertos de Capsicum celebraron una reunión de recopilación de requisitos y pudieron llegar a la raíz de qué productos de trabajo se requerían. Pudimos explicar que sin herramientas forenses la imagen no era legible. Explicamos además que si bien un clon podría revisarse y buscarse, los datos originales se modificarían. Al final, después de colaborar con el abogado, producimos Clones e Imágenes. En Capsicum, ofrecemos una profunda experiencia técnica y estamos bien versados en liderar o participar en su investigación electrónica.
No importa el nivel de complejidad, el equipo de expertos técnicos y legales de Capsicum Group está equipado con la tecnología de vanguardia y estrategias intensivas para su éxito. Obtenga más información sobre nuestros servicios de recuperación forense y ciberseguridad en Filadelfia, Nueva York y el sur de la Florida conectándose con nosotros a través de nuestra página de contacto o llamando al 1-888-220-3101.
Aquí hay algunos artículos adicionales escritos por Capsicum que pueden ser de su interés:
Cómo romper un PDF seguro
Simplemente Envíeme un mensaje de texto: Las 5 Preguntas principales Que Se hacen A los Expertos Forenses Digitales Con Respecto a la Evidencia de Mensajes de Texto
Metadatos: La pistola Humeante