Estoy trabajando en una política forense que abarca varios países. Una de las opciones es hacer que el dispositivo del usuario (computadora portátil, estación de trabajo) se adquiera (fotografíe) localmente y realizar análisis forenses en otro país.
El punto en el que busco información es el estándar (mejor caso) o las mejores prácticas (menos buen caso) para el proceso de creación de imágenes.
Hay varias posibilidades técnicas ( duplicador forense , adaptadores con protección contra escritura , solución de software puro). Los enlaces son solo ejemplos.
Me gustaría entender si la solución de solo software es lo suficientemente sólida. Las distribuciones forenses que miré ( CAINE por ejemplo) solo tienen bloques blandos, en el sentido de que están configurados para (con suerte) No permitir montajes RW por defecto. ¿Es esto suficiente?
Vi que también hay intentos de usar bloqueadores de escritura de software , no estoy seguro de la precisión con la que fueron probados.
La pregunta general sería: ¿está utilizando una solución de software únicamente para adquirir una imagen de disco duro suficiente desde una perspectiva forense? En términos prácticos, alguien podría afirmar con éxito que, dado que no hay bloqueadores de escritura de hardware fueron utilizados, existe la presunción de que el disco fue modificado durante el proceso forense?