Imagem forense

Uma imagem forense (cópia forense) é uma cópia bit a bit, setor a setor, direta de um dispositivo de armazenamento físico, incluindo todos os arquivos, pastas e não alocados, livres e slack espaço. As imagens forenses incluem não só todos os arquivos visíveis para o sistema operacional, mas também arquivos excluídos e pedaços de arquivos deixados no espaço livre e frouxo.  

Imagem forense é um elemento de forense computacional, que é a aplicação de técnicas de investigação e análise computadorizada para reunir provas adequadas para apresentação em um tribunal.

Não todas as imagens e backup software criar imagens forenses. O backup do Windows, por exemplo, cria backups de imagens que não são cópias completas do dispositivo físico. As imagens forenses podem ser criadas através de software forense especializado. Alguns utilitários de imagem de disco não comercializados para uso forense também fazem imagens completas disk.

No caso de crimes cibernéticos, evidências adicionais podem ser descobertas além do que está disponível através de um sistema operacional na forma de dados incriminatórios que foram deletados para prevenir a descoberta. A menos que os dados sejam excluídos com segurança e sobrescritos, eles podem ser recuperados com software forense ou de recuperação de arquivos.

Criar e fazer backup de uma imagem forense ajuda a prevenir a perda de dados devido a falhas na unidade original. A perda de dados como prova pode ser prejudicial a casos legais. A imagem forense também pode prevenir a perda de arquivos críticos em geral.