El proceso para crear una imagen forense desde un dispositivo de almacenamiento como un disco duro, debería ser un proceso bastante sencillo, al menos en teoría. Típicamente se creará la imagen forense desde un dispositivo de almacenamiento hacia otro. El dispositivo de almacenamiento original es conocido como el dispositivo de origen, y el dispositivo donde se creará la imagen forense, se denomina el dispositivo destino. La unidad de destino debe ser tan grade (sino más grande), comparado con el dispositivo origen. Aunque no siempre esto es posible, conocer el tamaño del origen por adelantado es lo ideal, pues tener un dispositivo de almacenamiento con el tamaño correcto, ahorrará mucho tiempo e inconvenientes .

El dispositivo de almacenamiento desde el cual se realizará la imagen forense (origen), normalmente es retirado de la computadora. Se conecta luego mediante un cable hacia un dispositivo de algún tipo para realizar la imagen forense, o hacia otra computadora. Es crítico tener algún tipo de bloqueador de escritura implementado antes de iniciar el proceso. Un bloqueador de escritura es una pieza crucial de hardware o software, el cual es utilizado para salvaguardar la evidencia original, durante el proceso de creación de la imagen forense. El bloqueador de escritura por hardware es colocado entre el dispositivo a utilizar para crear la imagen forense (Computadora, laptop, o hardware autónomo), y el origen. El bloqueador de escritura previene cualquier dato sea escrito hacia el dispositivo de evidencia original. Utilizando este tipo de dispositivos, se elimina la posibilidad de comprometer inadvertidamente la evidencia. Recordar, el dispositivo bloqueador de escritura por hardware se ubica entre el dispositivo de origen y la plataforma utilizad para crear la imagen forense.

Existe un pequeño trabajo de preparación involucrado en el proceso de crear una imagen forense. El dispositivo destino debe estar limpio desde la perspectiva forense, antes de almacenar allí la imagen forense. La mayoría, sino todas las herramientas para crear imágenes forenses, generan algún tipo de registro o rastro, lo cual demuestra el proceso de limpieza se ha realizado. Esta documentación se convierte en parte del archivo correspondiente al caso.

Una vez se han realizado las conexiones, se inicia el proceso con la presión de un par de botones o haciendo algunos clics con el ratón. Cuando se ha completado, un reporte corto será generado por la herramienta, indicando si la creación de la imagen forense ha sido exitosa o no. La creación de una imagen forense es exitosa cuando los valores hash (son como una huella digital), para el dispositivo origen y destino coinciden.

Fuentes:

https://www.digitalforensics.com/blog/how-to-make-the-forensic-image-of-...
https://www.guidancesoftware.com/tableau/hardware
https://www.forensicswiki.org/wiki/Hashing