Nel contesto delle investigazioni digitali, l’immagine forense rappresenta uno degli strumenti fondamentali per la conservazione, l’analisi e la presentazione delle prove informatiche in sede giudiziaria. Ma cosa si intende esattamente per immagine forense? E perché è così cruciale nelle attività di digital forensics?
Un’immagine forense è una replica bit-per-bit (chiamata anche “copia forense“) di un supporto di memoria, come un hard disk, un SSD, una scheda SD, una chiavetta USB o persino una partizione virtuale. A differenza di una semplice copia file, che trasferisce solo i dati visibili all’utente o al sistema operativo, l’immagine forense cattura l’intero contenuto del dispositivo, incluse le aree non allocate, i settori cancellati e i metadati a basso livello.

Questa tipologia di acquisizione consente agli esperti forensi di effettuare analisi approfondite, senza alterare in alcun modo la prova originale, garantendo così il principio di integrità e la ripetibilità dell’analisi, requisiti indispensabili affinché un artefatto digitale possa essere ammesso in giudizio.

Finalità principali

L’obiettivo dell’acquisizione forense non è solo quello di “salvare” i dati, ma di farlo in maniera tale da permettere successive attività di verifica e analisi, senza correre il rischio di compromettere il contenuto originale. Tra le finalità principali delle immagini forensi troviamo:

• Preservazione dell’integrità della prova: grazie all’hashing e all’immutabilità dell’immagine acquisita, è possibile dimostrare che il contenuto non è stato alterato.
• Analisi differita e sicura: le attività investigative possono essere svolte su una copia, lasciando intatto il dispositivo originale.
• Recupero di dati cancellati: poiché vengono acquisiti anche i settori non allocati, è possibile ricostruire file cancellati o danneggiati.
• Ricostruzione degli eventi: tramite lo studio dei metadati, della cronologia degli accessi e delle tracce lasciate dal sistema operativo.

In ambito giudiziario e aziendale, la creazione di immagini forensi è prassi consolidata per casi di reati informatici, accessi non autorizzati, incidenti di sicurezza, contenziosi lavorativi e violazioni di policy.

I principali formati di immagine forense: caratteristiche, vantaggi e differenze

Nel mondo della digital forensics, la scelta del formato con cui acquisire un dispositivo è una decisione tecnica cruciale. Esistono diversi standard di immagine forense, ognuno con peculiarità ben precise che lo rendono più o meno adatto a determinati casi. Comprenderli è fondamentale per garantire un’acquisizione efficace e soprattutto forensicamente valida.

Formato RAW (o DD)

Il formato RAW, spesso indicato con l’estensione .dd, è il più semplice e diretto tra i formati di immagine forense. Viene creato eseguendo una copia bit-a-bit non compressa dell’intero supporto.

Questo tipo di immagine è universalmente compatibile, in quanto consiste in una riproduzione pura dei dati, senza struttura proprietaria. È il formato adottato, ad esempio, da strumenti come dd su Linux o FTK Imager quando viene selezionata l’opzione “Raw Image”.

Vantaggi:

• Massima compatibilità con tutti i software forensi
• Nessuna compressione: immagine perfettamente identica al disco originale
• Analizzabile con strumenti generici (anche hex editor)

Svantaggi:

• Dimensioni elevate: ogni byte è copiato, senza compressione
• Mancanza di metadati aggiuntivi, come note sull’acquisizione o hash integrati (richiedono file esterni)

Il formato RAW è ideale per casi in cui si vuole mantenere la massima trasparenza possibile, o in ambienti dove si usano strumenti open source.

Formato E01 (EnCase Image File Format)

Il formato E01, introdotto da Guidance Software per il tool EnCase, è oggi uno standard ampiamente utilizzato. Si tratta di un formato proprietario ma documentato, che consente la compressione dei dati e l’integrazione di numerose informazioni accessorie.

All’interno di un file E01, oltre alla copia bit-a-bit del disco, sono inclusi hash, dati identificativi del caso, timestamp, note dell’analista e altre informazioni forensi.

Vantaggi:

• Supporto per compressione e segmentazione dell’immagine (utile per dischi molto grandi)
• Integrazione nativa di hash (MD5, SHA1)
• Possibilità di cifrare e firmare digitalmente l’immagine
• Ampio supporto nei software forensi (EnCase, X-Ways, Magnet AXIOM, Autopsy tramite plugin)

Svantaggi:

• Formato meno “trasparente” rispetto al RAW
• Leggermente meno interoperabile con ambienti Linux o strumenti generici

E01 è spesso il formato preferito in contesti istituzionali, dove è necessaria una documentazione forense estesa.

Formato AFF (Advanced Forensic Format)

AFF è un formato aperto e modulare, sviluppato per essere efficiente, espandibile e capace di includere metadati senza rinunciare alla compatibilità.

A differenza del RAW, l’AFF può essere compresso e suddiviso in più file (es. .afd per i dati e .afm per i metadati), pur rimanendo verificabile in ogni momento grazie alla presenza di hash integrati.

Vantaggi:

• Open source e documentazione pubblica
• Supporto per compressione, cifratura, metadati estesi
• Progettato per garantire integrità e trasportabilità

Svantaggi:

• Meno supportato rispetto a E01 nei software commerciali
• Più complesso da gestire manualmente rispetto al RAW

L’AFF è spesso utilizzato in ambito accademico e da tool open source come Guymager, dc3dd, o AFFLIB.

Formato AD1 (AccessData Logical Image)

Il formato AD1 è un tipo particolare di immagine forense, usato per le acquisizioni logiche, ovvero quando si copiano solo file e cartelle selezionati, e non l’intera struttura fisica del disco.

È utilizzato in ambito forense da AccessData FTK per l’analisi selettiva, ad esempio su dispositivi live, sistemi server o durante perquisizioni mirate.

Vantaggi:

• Estremamente leggero e veloce da generare
• Perfetto per acquisizioni rapide in contesti live
• Può contenere file cifrati e compressi

Svantaggi:

• Non rappresenta una copia completa: non contiene spazi non allocati, file cancellati o metadata di basso livello
• Non adatto per investigazioni approfondite o da presentare in tribunale come immagine forense completa

Il formato AD1 è ideale per indagini preliminari, attività di triage o casi aziendali dove si richiede una raccolta selettiva.

Come scegliere il formato forense giusto: contesto, finalità e strumenti

La scelta del formato di immagine forense non può mai essere casuale. Deve basarsi su una valutazione concreta delle esigenze del caso, del tipo di acquisizione necessaria (fisica o logica), dei vincoli legali, dei software disponibili e del successivo utilizzo probatorio dei dati.

Se l’obiettivo è l’analisi completa e approfondita del dispositivo

In questo scenario – tipico delle indagini penali o di procedimenti giudiziari complessi – il formato E01 è in genere il più indicato. La possibilità di includere hash, compressione, note e metadati lo rende estremamente utile per la conservazione a lungo termine e per garantire la catena di custodia. È inoltre ampiamente accettato dai Tribunali.

Se l’ambiente operativo è open source o minimalista

Per indagini condotte in ambienti Linux o con strumenti open source, il formato RAW è spesso il più compatibile. L’analista può poi generare separatamente hash MD5/SHA1 e mantenere file di log dell’attività di acquisizione. Tuttavia, attenzione alle dimensioni: un disco da 1 TB produrrà un’immagine da 1 TB.

In alternativa, se si desidera una maggiore efficienza senza sacrificare trasparenza, il formato AFF è un’ottima opzione. Offre compressione, metadati e cifratura, rimanendo comunque aperto e documentato.

Se si lavora in live acquisition o triage rapido

Nel caso di acquisizione logica – ad esempio da un sistema operativo in uso o in un’analisi aziendale selettiva – il formato AD1 consente di raccogliere solo ciò che serve, senza acquisire l’intero disco. Questa soluzione è ideale per contenere tempi e risorse, ma non va confusa con un’acquisizione forense completa: non è adatta per recuperare dati cancellati o settori non allocati.