Quiero tomar una imagen forense de un disco duro. Sin embargo, estoy un poco confundido sobre qué formato debo tomar la imagen. DD (crudo) o E01? ¿Cuáles son las ventajas y desventajas de cada uno?
Se reduce a lo que quieres hacer con la imagen una vez que la creaste. Si va a utilizar Encase Forensic para profundizar en él, o si va a realizar muchas búsquedas en él, probablemente sea mejor que vaya al formato E01, ya que está optimizado para esos casos de uso. También se ha incorporado la suma de comprobación, lo cual es importante si está copiando datos por medios menos que ideales.
Por otra parte, si está buscando investigar la imagen utilizando herramientas estándar de Linux, puede montar una imagen sin procesar y operar sobre ella sin herramientas de terceros. Sin embargo, es prácticamente la única forma de operarlo, que se vuelve difícil de manejar con imágenes más grandes.
E01 tiene soporte de compresión incorporado, cuando se usa con el software Encase, pero las imágenes sin procesar pueden comprimirse usando software de terceros (aunque la cantidad de compresión variará enormemente según el contenido de la imagen). Los archivos E01 también pueden contener metadatos, lo cual es útil cuando desea agregar notas, por ejemplo, a archivos eliminados.
Un buen lugar para buscar información sobre herramientas y software forenses es el Forensics Wiki , que tiene una lista de diferentes formatos de archivo y sus pros y contras.
Lea otras preguntas en las etiquetas forensics