Está en la página 1de 9

INFORME PERICIAL

1. DATOS GENERALES
INDAGACIN PREVIA

DEL

JUICIO,

PROCESO

DE

Nombre Judicatura o Fiscala

Consejo de Judicatura del


Azuay
No. de Proceso
007
Nombre y Apellido de la o el Julio Caguano
Perito
Profesin
y
Especialidad Ingeniero en Sistemas
acreditada
No. de Calificacin
n/a
Fecha de caducidad de la 07/12/2016
acreditacin
Direccin de Contacto
Fray Luis de len y Av. 12 de
Octubre
Telfono fijo de contacto
Telfono celular de contacto
0999656097
Correo
electrnico
de Julio.caguanob@ucuenca.ec
contacto
2. PARTE DE ANTECEDENTES,
Se desea investigar y determinar si; Es posible obtener la
memoria RAM de un computador Toshiba Satellite U745; Si es
posible, indique la informacin
que se puede obtener.
3. PARTE DE CONSIDERACIONES TCNICAS O METODOLOGA
A APLICARSE
Yo, Julio Cesar Caguano Berrezueta con cedula de identidad:
0105432058 con conocimientos de Informtica, adems de
experiencia en ramas afines y habilidades de investigacin, estoy
calificado para realizar esta pericia.
4. PARTE DE CONCLUSIONES,
De acuerdo al procedimiento realizado, se ha comprobado y se
lleg a las siguientes conclusiones:
Conclusin 1: Si es posible realizar una captura de la memoria
RAM.
Conclusin 2: La informacin que se pudo recupera de la
captura son:
Historial, como son correos, chats, datos necesarios para
autentificarse en una pgina.

Imgenes.

Conclusin 3: No se pudo recuperar documentos como son


Word, Excel, PowerPoint.
5. PARTE DE INCLUSIN DE DOCUMENTOS DE RESPALDO,
ANEXOS, O EXPLICACIN DE CRITERIO TCNICO
Computador usado para el Anlisis
El computador usado en este peritaje tiene las siguientes
caracterizas bsicas:
Marca: Toshiba
Modelo: Satellite 745-S4217
CPU: Intel Core i5-2410 de 2.30 GHz
Memoria Ram: 6 GB
Disco Duro: 512 GB
Sistema Operativo: Windows 10 Education de 64 Bits
Usuario: Jul

Esta informacin es conseguida


propiedades bsicas del computador.

accediendo

las

Procedimiento
Une vez instalado los softwares a utilizar procedemos a realizar
la captura de la memoria Ram del computador.
Procedemos a realizar de la captura de la memoria Ram con la
aplicacin RamCapture64.exe. Ver Figura1.

Figura 1. Captura de la memoria Ram


Terminado el proceso de la captura, el resultado de este proceso
ser un archivo con el tamao indicado en la figura1.

Figura 2. Archivo Obtenido del proceso de la captura.


Con la ayuda del siguiente programa Belkasoft Evidence
Center Ultimate.exe procederemos analizar la informacin
capturada de la memoria realizada en el proceso anterior.

Figura 3. Interfaz de uso de Belkasoft Evidence Center Ultimate


Antes de continuar nos pide dar un nombre al caso que estamos
por realizar y seguido damos click en el botn OK.

Figura 4. Seleccin del archivo analizar.


Una vez asignado el nombre al caso, seleccionaremos el archivo
que desearemos analizar. El proceso de analizar la informacin
nos tomara gran tiempo, aunque este vara dependiendo del
tamao de la memoria.
Culminado el proceso de analizar la informacin, el programa
nos clasificara la informacin en diversas categoras, como se
ilustra en la Figura 5.

Figura 5. Informacin analizada en categoras.

Figura 6. Fechas anteriores a las del da de la captura.


En la figura 6, se puede apreciar que existen datos anteriores a
la fecha en la que se llev a cabo la captura de la memoria
RAM, es debe aquel computador se encontraba en modo
suspensin momentos anteriores al realizar la captura y es fcil
concluir que la captura de la RAM contendr datos de fecha
anterior al momento de realizar la prctica.

Figura 7. Constancia de actividad 1


Como se aprecia en la Figura7, en la categora donde clasifica la
informacin referente al historial en el navegador, se puede
observar que se puede obtener datos importantes como son los
correos, usuarios de login, etc. Como adicional en la imagen se
observa que efectivamente se capturo la actividad que se
realiz con intensin momentos antes de la captura.

Figura 8. Constancia actividad 2


Como Actividad 2, se envi mensajes por el chat de Facebook,
como se aprecia en la Figura8, en efecto dicha actividad fue
capturada.

Figura 9. Actividad 3
En la figura 9, se puede observar una lista de documentos que
han sido capturados, pero como se observa no guardar ningn
nombre en relacin a los documentos que se mantenan
abiertos al momento de realizar la captura, se intent abrir los
mismo para verificar si guardaban una relacin con los
documentos que se mantena abiertos con intensin de que lo
registrara, pero no ser pudo visualizar ya que se encontraba
daados disco archivos.

Figura 10. Corroboracin de la actividad 4


En la categora de Imgenes, se encontr una infinidad de
archivos, luego una larga bsqueda se encontr la imagen que
se encontraba abierta como actividad 4, la cual se encuentra en
el recuadro rojo, corroborando que si fue capturada.

Figura 11. Imagen en mal estado


Dentro de la categora de las imgenes, se encontr una gran
cantidad de imgenes, las cual muchas de ella constaban
imgenes en mal estado, tal como se ilustra en la Figura 11.
6. INFORMACIN ADICIONAL
Informacin General
MEMORIA RAM se utiliza frecuentemente en informtica para
el almacenamiento de programas y datos informativos. La
caracterstica diferencial de este tipo de memoria es que se
trata de una memoria voltil, es decir, que pierde sus datos
cuando deja de recibir energa.

Fuente:
ram.php

http://www.definicionabc.com/tecnologia/memoria-

Software Utilizado
Belkasoft Live RAM Capturer es una pequea herramienta
forense gratuita que permite extraer de forma fiable todo el
contenido de la memoria voltil del ordenador, incluso si est
protegido por un sistema anti-depuracin o anti-dumping activo.
Existen compilaciones independientes de 32 bits y 64 bits para
minimizar la huella de la herramienta tanto como sea posible.
Los volcados de memoria capturados con Belkasoft Live RAM
Capturer pueden analizarse con Live RAM Analysis en Belkasoft
Evidence Center. Belkasoft Live RAM Capturer es compatible
con todas las versiones y ediciones de Windows incluyendo XP,
Vista, Windows 7, 8 y 10, 2003 y 2008 Server.
Fuente: https://belkasoft.com/ram-capturer
Belkasoft Evidence Center hace que sea fcil para un
investigador para adquirir, buscar, analizar, almacenar y
compartir pruebas digitales que se encuentran dentro de
equipos y dispositivos mviles. El kit de herramientas extraer
rpidamente evidencia digital de mltiples fuentes analizando
discos duros, imgenes de unidad, volcados de memoria, iOS,
Blackberry y respaldos de Android, UFED, JTAG y descargas de
chip-off. El Centro de Evidencia analizar automticamente la
fuente de datos y presentar los artefactos ms forenses
importantes para que el investigador lo revise, examine ms de
cerca o agregue al informe.
Fuente: https://belkasoft.com/ec
7. DECLARACIN JURAMENTADA
Yo Rafael Cobos, con cedula de identidad 0106045669 declaro
bajo juramento que lo antes expuesto es verdad.
8. FIRMA Y RBRICA
Firma y Rbrica

X
Julio Caguano
estudiante

Cedula de Identidad

0105432058

También podría gustarte