Formato DD
Formato de imagen forense sin compresión ni metadatos que copia bit a bit el contenido exacto de un disco, produciendo una réplica idéntica del medio original.
¿Qué es el formato DD?
El formato DD (también llamado raw, img o bin) es el formato de imagen forense más simple y universal. Consiste en una copia bit a bit del dispositivo de origen, sin ningún tipo de procesamiento, compresión o metadatos añadidos. El archivo resultante es una réplica exacta del disco original, byte por byte.
El nombre proviene del comando Unix dd (data duplicator o dataset definition), una herramienta de bajo nivel presente en todos los sistemas Unix/Linux desde los años 70. Aunque el comando original no fue diseñado específicamente para forense, su capacidad de copiar datos a nivel de bloques lo convirtió en la herramienta fundamental para adquisición forense.
A diferencia del formato E01, que encapsula la imagen con metadatos y compresión, el formato DD es “lo que ves es lo que hay”: un flujo continuo de bytes idéntico al disco original.
Universalidad del formato
El formato DD es legible por cualquier herramienta forense, sistema operativo o utilidad de disco. Esta universalidad lo hace ideal como formato de intercambio y archivo a largo plazo, aunque su tamaño (igual al disco original) puede ser un inconveniente.
Características técnicas
Estructura del archivo
Un archivo DD no tiene estructura interna definida:
Byte 0 ────────────────────────────────────────────────────── Byte N
│ │
│ Copia exacta del dispositivo: sector 0 hasta sector final │
│ Sin cabeceras, sin metadatos, sin compresión │
│ │
└───────────────────────────────────────────────────────────────────┘Donde N = (número de sectores × tamaño de sector) - 1
Correspondencia directa
Cada byte del archivo DD corresponde exactamente al mismo offset en el disco original:
| Offset en disco | Offset en DD | Contenido |
|---|---|---|
| 0x00000000 | 0x00000000 | MBR/GPT |
| 0x00000200 | 0x00000200 | Sector 1 |
| 0x00000400 | 0x00000400 | Sector 2 |
| … | … | … |
| 0xXXXXXXXX | 0xXXXXXXXX | Último sector |
Esta correspondencia 1:1 permite:
- Montar la imagen como disco virtual
- Acceder directamente a cualquier offset
- Usar herramientas que esperan acceso raw
Tamaño del archivo
El archivo DD tiene exactamente el mismo tamaño que el dispositivo:
- Disco de 500 GB → Archivo DD de 500 GB
- USB de 32 GB → Archivo DD de 32 GB
- Partición de 100 GB → Archivo DD de 100 GB
Espacio necesario
Asegúrate de tener suficiente espacio libre antes de crear una imagen DD. Un disco de 2 TB requiere 2 TB de espacio para la imagen, más espacio adicional para trabajar.
Creación de imágenes DD
Con dd (básico)
El comando dd original es funcional pero carece de características forenses:
# Copia básica (NO RECOMENDADO para forense)
dd if=/dev/sdb of=/casos/imagen.dd bs=4M
# Problemas:
# - No calcula hash
# - No muestra progreso
# - No maneja errores de lectura correctamenteCon dc3dd (forense)
dc3dd es una versión mejorada de dd para uso forense:
# Instalación
sudo apt install dc3dd
# Adquisición forense completa
dc3dd if=/dev/sdb of=/casos/evidencia.dd \
hash=sha256 \
log=/casos/adquisicion.log \
hlog=/casos/hashes.txt \
rec=on \
conv=noerror,sync
# Parámetros:
# hash=sha256 → Calcula hash durante copia
# log= → Guarda log de la operación
# hlog= → Guarda solo los hashes
# rec=on → Modo recuperación (continúa tras errores)
# conv=noerror → No para ante errores de lectura
# conv=sync → Rellena sectores ilegibles con cerosCon dcfldd
Otra alternativa forense con características similares:
# Instalación
sudo apt install dcfldd
# Adquisición con verificación
dcfldd if=/dev/sdb of=/casos/evidencia.dd \
hash=sha256 \
hashwindow=10G \
hashlog=/casos/hashes.txt \
errlog=/casos/errores.txt \
bs=4MCon Guymager (interfaz gráfica)
Guymager también puede crear imágenes DD:
- Seleccionar dispositivo en la lista
- Click derecho → “Acquire image”
- En “File format” seleccionar “Linux dd raw”
- Completar metadatos (se guardan en archivo .info separado)
- Activar cálculo de hash MD5 + SHA256
- Iniciar adquisición
Caso práctico: Adquisición DD para análisis rápido
Situación: Se necesita adquirir rápidamente una memoria USB de 64 GB encontrada en la escena de un incidente de seguridad. El tiempo es crítico y se requiere análisis inmediato.
Proceso:
Protección del dispositivo
Conectar USB mediante write blocker hardware.
# Verificar protección blockdev --getro /dev/sdc # Resultado: 1 ✓Identificación del dispositivo
fdisk -l /dev/sdc # Disk /dev/sdc: 64 GB # Partitions: sdc1 (FAT32)Adquisición con dc3dd
dc3dd if=/dev/sdc of=/casos/usb-incidente.dd \ hash=md5 hash=sha256 \ log=/casos/usb-adquisicion.logTiempo: 8 minutos (velocidad USB 3.0)
Verificación de hashes
MD5: 7a3b9c2d1e4f5678... SHA256: 1a2b3c4d5e6f7890...Montaje para análisis rápido
# Crear dispositivo loop sudo losetup -fP /casos/usb-incidente.dd # Montar partición en solo lectura sudo mount -o ro,loop /dev/loop0p1 /mnt/evidencia # Análisis inmediato ls -la /mnt/evidencia/Resultado
En 15 minutos totales se adquirió la imagen y se accedió al contenido para análisis preliminar, encontrando scripts maliciosos que confirmaron la intrusión.
Ventajas del formato DD
Universalidad
- Compatible con todas las herramientas forenses
- Funciona en cualquier sistema operativo
- No requiere software especial para leer
Montaje directo
# Linux: montar como dispositivo loop
sudo losetup -fP imagen.dd
mount -o ro /dev/loop0p1 /mnt/evidencia
# Windows: usar Arsenal Image Mounter o similarVelocidad de adquisición
Sin compresión ni procesamiento, la velocidad está limitada solo por el hardware:
- Sin overhead de CPU
- Velocidad máxima de E/S del disco
Simplicidad
- Sin dependencias de librerías específicas
- Formato estable y documentado
- Fácil de verificar (hash del archivo = hash del disco)
Compatibilidad con virtualización
# Convertir DD a VMDK para análisis en VM
qemu-img convert -f raw -O vmdk imagen.dd imagen.vmdkDesventajas del formato DD
Tamaño
El archivo DD tiene el tamaño completo del disco:
| Disco origen | DD | E01 (comprimido) |
|---|---|---|
| 500 GB | 500 GB | ~300 GB |
| 1 TB | 1 TB | ~600 GB |
| 2 TB | 2 TB | ~1.2 TB |
Sin metadatos integrados
El archivo DD no contiene:
- Información del caso
- Nombre del examinador
- Hash de verificación
- Notas o comentarios
Estos datos deben almacenarse en archivos separados (.info, .txt, .log).
Sin segmentación automática
Para dividir un DD grande:
# Dividir en segmentos de 2GB
split -b 2G imagen.dd imagen.dd.
# Resultado: imagen.dd.aa, imagen.dd.ab, ...
# Reconstruir
cat imagen.dd.* > imagen_completa.ddSin verificación integrada
El hash debe calcularse y almacenarse por separado:
# Calcular hash
sha256sum imagen.dd > imagen.dd.sha256
# Verificar
sha256sum -c imagen.dd.sha256Comparativa DD vs E01
| Aspecto | DD (Raw) | E01 (Expert Witness) |
|---|---|---|
| Tamaño | Igual al disco | 30-50% menor |
| Compresión | No | Sí (zlib) |
| Metadatos | Externos | Integrados |
| Hash integrado | No | Sí (MD5, SHA) |
| Segmentación | Manual | Automática |
| Velocidad creación | Máxima | Media |
| Compatibilidad | Universal | Muy alta |
| Montaje directo | Sí | Requiere herramienta |
| Preferencia judicial | Aceptado | Preferido |
¿Cuándo usar cada formato?
Usar DD cuando:
- Necesitas máxima velocidad de adquisición
- Vas a montar la imagen directamente
- Trabajas con herramientas que solo leen raw
- Quieres convertir a otros formatos (VMDK, VHD)
- El espacio de almacenamiento no es problema
Usar E01 cuando:
- Es para procedimiento judicial
- Necesitas reducir espacio de almacenamiento
- Quieres metadatos integrados en la imagen
- Trabajas en equipo y necesitas documentación embebida
Herramientas compatibles con DD
Análisis forense
- Autopsy: Abre DD directamente como data source
- Sleuth Kit: Todas las herramientas soportan DD
- FTK Imager: Lee y crea imágenes DD
- X-Ways Forensics: Soporte completo
Montaje y acceso
- losetup (Linux): Crea dispositivos loop
- Arsenal Image Mounter (Windows): Monta DD como disco
- OSFMount (Windows): Montaje gratuito
- QEMU/VirtualBox: Para virtualización
Conversión
# DD a E01
ewfacquire -t target imagen.dd
# DD a VMDK
qemu-img convert -f raw -O vmdk imagen.dd imagen.vmdk
# DD a VHD
qemu-img convert -f raw -O vpc imagen.dd imagen.vhdValidación de integridad
Cálculo de hash
# MD5 (rápido, menos seguro)
md5sum imagen.dd > imagen.dd.md5
# SHA256 (recomendado)
sha256sum imagen.dd > imagen.dd.sha256
# Ambos
md5sum imagen.dd > imagen.dd.hashes
sha256sum imagen.dd >> imagen.dd.hashesVerificación
# Verificar MD5
md5sum -c imagen.dd.md5
# imagen.dd: OK
# Verificar SHA256
sha256sum -c imagen.dd.sha256
# imagen.dd: OKComparación con disco original
# Hash del disco original (con write blocker)
sha256sum /dev/sdb > disco_original.sha256
# Hash de la imagen
sha256sum imagen.dd > imagen.sha256
# Comparar
diff disco_original.sha256 imagen.sha256
# Sin salida = idénticosMarco legal en España
El formato DD es plenamente válido en tribunales españoles cuando:
- Se documenta el proceso de adquisición
- Se calcula y almacena el hash (archivo separado)
- Se mantiene la cadena de custodia
- Un perito informático avala el proceso
El E01 es preferido porque simplifica la documentación, pero el DD con documentación adecuada tiene la misma validez probatoria.
Relación con otros conceptos
- Formato E01: Alternativa con compresión y metadatos
- Guymager: Puede crear imágenes DD con interfaz gráfica
- Imagen forense: DD es uno de los formatos de imagen
- Sleuth Kit: Herramientas CLI que trabajan con DD
- Write Blocker: Protección necesaria antes de crear DD
Conclusión
El formato DD es el formato de imagen forense más simple, universal y directo. Su naturaleza raw lo hace compatible con cualquier herramienta y permite operaciones que otros formatos no soportan, como el montaje directo o la virtualización.
Para el perito informático, dominar tanto DD como E01 permite elegir el formato más adecuado para cada situación: DD para velocidad, compatibilidad y análisis rápido; E01 para documentación integrada y eficiencia de almacenamiento.
Última actualización: Enero 2026 Categoría: Técnico Código: EXT-014
Preguntas Frecuentes
¿Qué diferencia hay entre DD y E01?
DD es una copia raw sin compresión ni metadatos - el archivo resultante tiene exactamente el mismo tamaño que el disco original. E01 incluye compresión (30-50% menor), metadatos del caso, hash integrado y segmentación automática.
¿Cuándo usar formato DD en lugar de E01?
DD es preferible cuando necesitas máxima compatibilidad (funciona con cualquier herramienta), velocidad de adquisición (sin overhead de compresión), o cuando vas a montar la imagen directamente como disco virtual.
¿El formato DD es válido para juicios?
Sí, siempre que se documente el hash del archivo DD y se mantenga la cadena de custodia. Sin embargo, E01 es preferido porque incluye los metadatos del caso y hash integrado, facilitando la documentación.
Términos Relacionados
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Formato E01
Formato de imagen forense desarrollado por EnCase que almacena una copia bit a bit del disco junto con metadatos, hash de verificación y compresión, siendo el estándar más utilizado en investigaciones judiciales.
Guymager
Herramienta gráfica de código abierto para Linux que permite crear imágenes forenses de discos en formatos E01 y DD, con verificación de hash integrada y documentación del proceso de adquisición.
CAINE Linux
Distribución Linux italiana especializada en análisis forense digital que arranca en modo solo lectura, incluye herramientas forenses preinstaladas y está diseñada para garantizar la integridad de la evidencia.
FTK Imager
Herramienta gratuita de AccessData (ahora Exterro) para crear imágenes forenses, verificar hashes y previsualizar evidencia digital, siendo una de las utilidades más utilizadas en Windows para adquisición forense.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita