Como ya se debe conocer sobre el ámbito forense, la evidencia digital es extremadamente volátil por naturaleza. Y como tal, nunca se debe realizar un examen o análisis sobre la evidencia original, a menos se esté en circunstancia muy exigentes donde no haya otra opción disponible. Estas circunstancias peculiares, podrían incluir situaciones en las cuales un niño ha sido raptado. Algunas veces no existen herramientas o técnicas para poder resolver este problema.

Examinar o analizar el archivo conteniendo la imagen forense obtenida desde un dispositivo de almacenamiento, proporciona la posibilidad de tener una solución viable, en caso algo saliese mal. Si fuese posible, el dispositivo de almacenamiento original debe ser preservado en un lugar seguro, y únicamente se recurrirá a él, en caso se necesite generar una nueva imagen forense.

Los dispositivos de almacenamiento, como los discos duros, pueden fallar. El tener dos imágenes forenses, proporciona la capacidad de examinar o analizar uno de ellos, mientras se tiene al otro para recurrir en caso se suscite algún inconveniente. Idealmente todo el análisis forense se realiza sobre las imágenes forenses, y nunca sobre el dispositivo de almacenamiento original.

Algunas veces; como ya se ha mencionado; esta no es una opción, especialmente en una configuración especial; donde la máquina debe ser nuevamente puesta en funcionamiento.

Desde la perspectiva legal; como por ejemplo un juzgado o corte judicial; una imagen forense debidamente autenticada, es tan buena como la evidencia original.

Fuentes:

https://www.sans.org/reading-room/whitepapers/incident/overview-disk-ima...
https://forensicswiki.org/wiki/Disk_image