El resultado final de realizar el proceso para la creación de una imagen forense desde un dispositivo de almacenamiento sospechoso, generalmente es un archivo conteniendo una copia exacta del dispositivo de origen. Este archivo puede tener diferentes formatos. Siendo la extensión del archivo, la manera más viables de indicar su formato. Algunos de los formatos de imágenes forenses más comunes son:

• EnCase (Extensión .E01)
• DD (Extensión .001 o .dd)
• AccessData Custom Content Image (Extensión .AD1)

Formato de Imagen de EnCase

Quizás el estándar de facto para el análisis forense en las fuerzas legales, EnCase Forensics de Guidance Software utiliza un formato cerrado para las imágenes forenses. Este formato está basado en el Formato de Compresión de Testigo Experto de Datos ASR. El archivo de Evidencia de EnCase (.E01) contiene un flujo de bits físicos del disco adquirido, prefijado con una cabecera “Case Info”, entrelazado con sumas de verificación (Adler-32) para cada bloque de 64 sectores (32 KB), seguido por un pie conteniendo un hash MD5 de todo el flujo de bits. Contenido en la cabecera está la fecha y hora de la adquisición, el nombre del examinador, notas de la adquisición, y una contraseña opcional. Adicionalmente contiene información del caso

No únicamente el formato es factible de ser comprimido, sino también es factible de buscar en él. La compresión está basada en bloques, y tablas de salto, además “archivos punteros” son mantenidos en la cabecera del formato o entre bloques “para mejorar la velocidad”. Las imágenes del disco pueden ser divididas en múltiples segmentos de archivos (Para archivo en CD o DVD).

Hasta la versión 5 de EnCase los segmentos de archivos no podían ser mayores de 2 GB. Esta restricción fue removida en la versión 6 de EnCase.

El formato restringe el tipo y cantidad de metadatos asociados con una imagen. EWF Extendido (EWF-X) definido en el proyecto libewf, proporciona una solución para esta restricción, especificando una nueva cabecera y sección hash (resumen), utilizando una cadena XML para almacenar metadatos. Estos archivos EWF-X E01 son compatibles con EnCase y permiten almacenar más metadatos.

Aunque algunos han realizado ingeniería inversa al formato por cuestiones de compatibilidad. Las extensiones de Guidance Software siguen siendo cerradas.

Formato de Archivo en Bruto

Este formato es una copia bit a bit en bruto del original. Este es frecuentemente acompañado con metadatos almacenados en formatos separados.

Existen diferencias en los formatos, pero todos ellos cumplen las buenas prácticas forenses. Algunos como DD, son open source o de fuente abierta, mientras otros como E01 son propietarios. Seleccionar un formato u otro depende generalmente de las preferencias, pues la mayoría de herramientas forenses pueden leer y escribir múltiples formatos de imágenes forenses.

Además de cumplir con las buenas prácticas forenses, otra principal consideración se relaciona con la capacidad de las herramientas utilizadas puedan leer las imágenes forenses. La documentación incluida con la herramienta debe proporcionar esta información. También la compatibilidad es importante, siendo esto especialmente cierto cuando se intercambian archivos entres profesionales forenses.

Fuentes:

https://www.forensicswiki.org/wiki/Category:Forensics_File_Formats
https://www.forensicswiki.org/wiki/Dcfldd
https://www.guidancesoftware.com/
https://github.com/libyal/libewf