Forensisches Image ist eine bitgenaue 1:1-Kopie eines Datenträgers, die jeden Sektor einschließlich gelöschter Daten, freier Bereiche und Slack Space erfasst. Im Gegensatz zu einer normalen Dateikopie enthält ein forensisches Image den vollständigen physischen Inhalt des Mediums.
Die Erstellung erfolgt mit Write-Blockern, die verhindern, dass der Quelldatenträger verändert wird. Hash-Werte (SHA-256 oder MD5) dokumentieren die Integrität: Der Hash des Images muss mit dem des Originals übereinstimmen. Forensische Images sind die Grundlage jeder digitalen Beweissicherung — Analysen werden ausschließlich an der Kopie durchgeführt, das Original bleibt unangetastet. Gängige Formate sind E01 (EnCase) und AFF4.