Un duplicado forense es un archivo que contiene cada bit de información de la fuente, en un formato de flujo de bits sin procesar. Un disco duro de 5GB resultaría en un duplicado forense de 5GB. No se almacenan datos adicionales dentro del archivo, excepto en el caso de que se hayan producido errores en una operación de lectura desde el original. Cuando esto ocurre, se coloca un marcador de posición donde habrían estado los datos incorrectos. Un duplicado forense puede ser comprimido después del proceso de duplicación.

Dos herramientas que crean un duplicado forense son el comando dd de Unix y la versión de Laboratorio Forense de Informática del Departamento de Defensa de los Estados Unidos (DoD) del comando dd llamado dfcldd. Otra herramienta de código abierto es el nuevo Open Data Duplicator.

Traducción de Prosise C, Mandia K. “Incident response & computer forensics, second edition” Editorial McGraw-Hill, Osborne (2003) Capítulo 7, página 153

A %d blogueros les gusta esto: