Está en la página 1de 63

rmine volume users.

TABLA DE CONTENIDO
1. INTRODUCCIÓN..........................................................................................................................1
1.1 OBJETIVOS...................................................................................................................................1
1.2 PROCEDIMIENTO..........................................................................................................................2
1.3 HERRAMIENTAS............................................................................................................................3
1.4 PLANIFICACIÓN ETAPAS...............................................................................................................4
1.5 ESTADO DEL ARTE........................................................................................................................4
1.5.1 ¿Qué es la Informática Forense?...............................................................................................4
1.5.2 ¿Qué tan necesaria es la informática Forense?.........................................................................5
1.5.3 Historia Informática Forense.....................................................................................................5
1.5.4 Campo de acción y Herramientas Tecnológicas........................................................................6
2. PROPUESTA DE EXTREMOS............................................................................................................7
2.1 Determinación de Extremos.........................................................................................................7
2.2 Previsión Pruebas Técnicas..........................................................................................................7
3. ANÁLISIS IMAGEN RAM..................................................................................................................8
3.1 Validación de SHA1 y MD5...........................................................................................................8
3.2 Información de la Imagen...........................................................................................................10
3.3 Información de Procesos............................................................................................................10
3.4 Información de Servicios............................................................................................................11
3.5 Información de Conexiones........................................................................................................12
4. ANÁLISIS IMAGEN USB.................................................................................................................14
4.1 Validación de SHA1 y MD5.........................................................................................................14
4.2 Analizar Volúmenes USB............................................................................................................15
4.3 Verificar Tipos de Archivos USB..................................................................................................16
4.4 Verificar Archivos Borrados USB.................................................................................................19
5. ANÁLISIS IMAGEN DISCO DURO...................................................................................................20
5.1 Validación de SHA1 y MD5.........................................................................................................20
5.2 Analizar Volúmenes Disco Duro.................................................................................................21
5.3 Analizar archivos/documentos.............................................................................................22
5.4 Analizar usuarios registrados en la imagen..........................................................................24
5.5 Analizar Datos Básicos Sistema Operativo............................................................................26
5.6 Analizar contenido web........................................................................................................26
5.7 Verificar datos borrados.............................................................................................................29
5.8 Analizar Otros Archivos/Aplicativos......................................................................................30
6. INFORME PERICIAL...................................................................................................................33
6.1 Objeto........................................................................................................................................33
6.2 Antecedentes.............................................................................................................................33
6.3 Análisis.................................................................................................................................33
6.4 Conclusiones.........................................................................................................................42
7. ANEXOS....................................................................................................................................43
ANEXO A. Pendientes.ods................................................................................................................43
ANEXO B. whatsapp_castellano.db..................................................................................................44
ANEXO C. ListadoNumeraciones.zip.................................................................................................45
ANEXO D. TheJerm.rar.....................................................................................................................46
ANEXO E. Pedo.rar...........................................................................................................................47
ANEXO F. Playa.png..........................................................................................................................48
ANEXO G. Pwd2.txt.txt.....................................................................................................................49
8. CONCLUSIONES........................................................................................................................50
9. GLOSARIO.................................................................................................................................51
10. BIBLIOGRAFÍA, WEBGRAFÍA Y REFERENCIAS........................................................................55
TABLA DE IMÁGENES

Ilustración 1: Procedimiento..............................................................................................................2
Ilustración 2: Escritorio VMware........................................................................................................8
Ilustración 3: Verificar Drive/Image....................................................................................................9
Ilustración 4: HD5 y SHA1 Memoria...................................................................................................9
Ilustración 5: Resultado comando Imageinfo...................................................................................10
Ilustración 6: Resultado comando Pslist...........................................................................................10
Ilustración 7: Resultado comando svcscan.......................................................................................11
Ilustración 8: Resultado comando netscan......................................................................................13
Ilustración 9: Escritorio VMware USB...............................................................................................14
Ilustración 10: SHA y MD5 USB........................................................................................................14
Ilustración 11: Análisis volumen USB...............................................................................................15
Ilustración 12: Análisis volumen USB FTK Imager.............................................................................15
Ilustración 13: Vista tipos de archivo...............................................................................................16
Ilustración 14: Atributos Archivos Importantes................................................................................16
Ilustración 15: Vista archivos borrados USB.....................................................................................19
Ilustración 16: Cargar imagenes HD FTK Imager...............................................................................20
Ilustración 17: Comparativo hashes generados vs. hashes obtenidos.............................................20
Ilustración 18: Creación proyecto Autopsy......................................................................................21
Ilustración 19: Imagen del HD..........................................................................................................21
Ilustración 20: Composición volumen imagen.................................................................................21
Ilustración 21: Datos volumen Ann_HD...........................................................................................22
Ilustración 22: Archivos relevantes Ann_HD....................................................................................23
Ilustración 23: Vista usuarios Imagen HD.........................................................................................24
Ilustración 24: Usuarios sesión abierta Windows.............................................................................25
Ilustración 25: Datos Ann.................................................................................................................25
Ilustración 26: Datos Tom................................................................................................................25
Ilustración 27: Datos Sistema Operativo..........................................................................................26
Ilustración 28: Archivos Email..........................................................................................................27
Ilustración 29: Búsqueda Ann...........................................................................................................27
Ilustración 30: Descargas Web.........................................................................................................28
Ilustración 31: Descargas en Disco Usuario Ann...............................................................................28
Ilustración 32: Historial Web............................................................................................................28
Ilustración 33: Archivos borrados HD...............................................................................................29
Ilustración 34: Recuperación archivo eliminado..............................................................................29
Ilustración 35: Registros Email.........................................................................................................39
Ilustración 36: Búsquedas web.........................................................................................................40
Ilustración 37: Archivos descargados...............................................................................................40
Ilustración 38: Historial Web............................................................................................................41
Ilustración 39: Archivo Pendientes.ods............................................................................................43
Ilustración 40: Archivo whatsapp_castellano.db..............................................................................44
Ilustración 41: ListadoNumeraciones.zip..........................................................................................45
Ilustración 42: Archivo TheJerm.rar.................................................................................................46
Ilustración 43: Archivo Pedo.rar.......................................................................................................47
Ilustración 44: Archivo Playa.png.....................................................................................................48
Ilustración 45: Archivo Pwd2.txt.txt.................................................................................................49
1. INTRODUCCIÓN

En el mundo globalizado en el que actualmente vivimos, es muy común todo tipo


de delitos y uno de los que más crecimiento ha tenido en los últimos tiempos es el
relacionado con el delito que tiene como instrumento principal las tecnologías de
información (TIC). En éste campo, las TIC cuyo principal objetivo de creación y
expansión fueron para intercomunicarnos y facilitarnos con ello un mejor vivir, se
están implementando para afectar cada día más a las víctimas y compañías
marcadas por los delincuentes, ya que con el uso de las TIC, se cometen delitos
como: violación de derechos de autor, pornografía infantil, fraudes bancarios,
obtención ilícita de datos personales, entre otros.

Es por lo anterior que el motivo del presente Trabajo de Fin de Máster (TFM), es
enfocado a la realización de un Análisis Forense a un computador personal que ha
sido obtenido como evidencia en un proceso delictivo.

Para ejecutar éste trabajo, se debe efectuar un estudio con las herramientas
idóneas para el examen de cada una de las partes obtenidas como evidencia y las
cuales han llegado al laboratorio para su debido análisis.

Es de suma importancia realizar y ejecutar efectivamente el análisis, demostrando


y documentando todos aquellos elementos encontrados por muy insipientes que
parezcan, dado que en el momento de una audiencia judicial, el Juez puede llegar
a considerar relevante para su sentencia cualquier prueba por pequeña que sea.

Actualmente se cuenta con un gran número de herramientas para la realización de


éste tipo de análisis, tanto de pago como gratuitas, lo que permite que los
investigadores tengan una gama interesante de software especializado en la
materia. Igualmente se cuenta con el documento RFC 3227 (1) que sirve como guía
para el tratamiento de las evidencias.

1.1 OBJETIVOS

Aunque el procedimiento para realizar el análisis forense al computador personal


es relativo, dado a que depende de cada analista o investigador, para éste TFM
los objetivos serán los siguientes:

 Obtener las evidencias digitales correctas que permitan llevar un caso bien
catalogado a Juicio.
 Ejecutar las herramientas informáticas idóneas para el examen de cada uno
de los elementos encontrados.
 Describir detalladamente el procedimiento realizado y los resultados
obtenidos.

1
1.2 PROCEDIMIENTO

El procedimiento que se implementará para llevar a cabo el análisis forense será


el siguiente:
INICIO N
o

1. Validación
de evidencia en
Custodia Correc
ta

Si

Documentar Evidencias
RAM
2. Análisis
memoria RAM

Documentar
Evidencias 3. Análisis dispositivo
dispositivo USB USB

Recuperar
4. Análisis Disco Duro datos
Documentar Evidencias borrados
Disco Duro D.D.
No

5. Informe Pericial

Completo

Si

FIN

Ilustración 1: Procedimiento
1. Validación de evidencias en custodia: durante éste proceso, se
revisará que toda la evidencia que se ha recibido en laboratorio concuerde
con la evidencia recolectada originalmente.

2. Análisis memoria RAM: en éste paso se realizará el análisis a la memoria


RAM y se documentará lo encontrado.

3. Análisis dispositivo USB: Se analizará y documentarán los hallazgos


en el análisis del dispositivo USB.

4. Análisis Disco Duro: en éste proceso se llevará a cabo la recuperación de


los datos que se hayan borrado, así como el respectivo análisis al disco
duro y la documentación de los hallazgos.

5. Informe Pericial: se realizará el respectivo informe con todas


las evidencias obtenidas en los procesos anteriores.

1.3 HERRAMIENTAS

Para éste análisis forense, se implementarán las siguientes herramientas:

- VMware Player (2): Software de virtualización donde se instalará bajo un


Sistema Operativo Windows 7 todos los aplicativos para realizar el análisis.

- Autopsy (3): Software especializado para analizar el disco duro.

- FTK Imager (4): herramienta de análisis forense que se utilizará para el


análisis del dispositivo USB. Se usará también para conocer el SHA1 y
MD5 y comparar si se obtiene el mismo valor igual que el valor inicial.
(5)
- Volatility : ésta herramienta se usará para el análisis de la memoria
RAM.

- WRR (Windows Registry Recovery) (13): ésta herramienta permite el


análisis de los usuarios que actualmente se encuentran registrados en el
sistema y su fecha de último acceso y cambio de contraseña en el sistema
a través del análisis del archivo SAM de Windows.
1.4 PLANIFICACIÓN ETAPAS
A continuación, se cita a grandes rasgos la planificación de cada etapa:

1. Validación de evidencias en custodia: estimado 4 días (05-Oct-2015 hasta 08-


Oct-2015).

2. Análisis memoria RAM: tiempo estimado 1 semana (09-Oct-2015 hasta 16-Oct-


2015).

3. Análisis dispositivo USB: tiempo estimado 1 ½ semana (16-Oct-2015 hasta 29-


Oct-2015).

4. Análisis Disco Duro: tiempo estimado 4 semanas (01-Nov-2015 hasta 22-Nov-


2015).

5. Informe Pericial: tiempo estimado 4 semanas (01-Nov-2015 hasta el 22-Nov-


2015).

1.5 ESTADO DEL ARTE

1.5.1 ¿Qué es la Informática Forense?

Es la ciencia que recoge, analiza y dictaminan datos informáticos de cualquier


sistema informático o dispositivo electrónico de tal manera que lo hace admisible
como prueba ante un tribunal de justicia (8).

De igual manera es importante citar, que la informática forense tiene 2 objetivos y


2 finalidades que son:

 Objetivos
- Preventivos: el funcionamiento principal en éste caso, es contener la
informática forense como parte del sistema de seguridad para anticiparse a
cualquier problema.

- Correctivos: su objetivo es enfrentar un incidente y conocer su fuente,


para que con ello se pueda evitar hacia un futuro que se repita el mismo
problema.

 Finalidades
- Probatoria: se implementa para obtener pruebas que permitan el hallazgo
de la fuente, autor y circunstancias que ocasionan un incidente de
seguridad informática y con ello de ser necesario presentar dichas pruebas
ante un tribunal de justicia con finalidades legales.
- Auditoría: con ésta técnica se permite conocer la robustez del sistema
informático y con base en ello tomar todas las medidas correctivas si
visualiza algún hallazgo.

1.5.2 ¿Qué tan necesaria es la informática Forense?

Ésta ciencia es de vital importancia hoy en día en cualquier investigación en la


cual se vea implicado un dispositivo electrónico llámese computador, teléfono
móvil, dispositivo de almacenamiento, etc. ya que ayuda a plasmar evidencias
técnicas en un ámbito jurídico, bajo la normatividad vigente de la región/país en la
cual se lleve a cabo el juicio.

1.5.3 Historia Informática Forense

Aproximadamente hace 30 años en EEUU el FBI inició la implementación de éste


tipo de investigación forense, cuando ellos en conjunto con el gobierno de dicha
nación detectaron que los delincuentes estaban empezando a usar medios
tecnológicos para llevar a cabo sus delitos, es así como en 1984 se crea el
Programa de medios magnéticos del FBI.

A través de los años, ésta rama del ámbito forense, ha conllevado a la creación de
algunas empresas o instituciones de gran prestigio a nivel internacional y que
tienen conocimiento en la materia, tal es el caso de Symantec, cuyo inicio se
remonta hacia 1988 con la idea de Michael Anderson, un especialista en el tema.

En 1989 nace el Centro de Entrenamiento Federal para el Cumplimiento de la Ley


(FLETC) para entrenamiento de agentes especializados en análisis forense.

Hacia 1991 nace el CART (Computer Analysis and Response Team), quienes se
encargan de realizar análisis a dispositivos electrónicos/tecnológicos para generar
apoyo a investigaciones referentes a la informática forense.

Y entre 1993 y 1995 IOCE (Organización Internacional en Evidencia


Computacional), cuyo el principal objetivo es proveer el intercambio de
conocimientos y experiencia a nivel mundial de temas relacionados con
informática forense.
1.5.4 Campo de acción y Herramientas Tecnológicas

Algunos de los campos de acción que tiene la informática forense son:


- Procesos Judiciales (Civiles, penales, comerciales, etc.): cuando la
informática forense se implementa para recolectar pruebas técnicas
basadas en procedimientos previamente establecidos y con base en ello
presentarlo a un Juez.

- Captura criminal: para aprehensión de delincuentes a través del


seguimiento de canales electrónicos/digitales usados por éstos.

- Auditoría interna: para validar el nivel del sistema de seguridad de


información de la compañía.

- Recuperación de datos: para recuperar datos de gran importancia y los


cuales han sido borrados.

- Imagen Corporativa: para detectar por ejemplo si empleados de la misma


compañía cruzan información vital de la empresa a terceros o visualizar si
han intentado afectar de cierta manera la infraestructura tecnológica y de
datos de la organización.

Respecto a las herramientas tecnológicas que se implementan para la informática


forense, se nombran las siguientes, aunque existen muchas más (10):

 Análisis de Memoria

- FTK Imager: permite obtener la memoria RAM del PC analizado.


- Volatility: Analiza procesos y obtiene información de los mismos
- Memorize: Extrae la información de la RAM.

 Recuperación datos Disco Duro

- Recuva: permite recuperar ficheros borrados.


- NTFS Recovery: sirve para recuperar archivos aún si el DD ha sido
formateado.
- CNW Recovery: recupera sectores de disco corruptos.

 Análisis de Disco Duro o dispositivos

- Autopsy: permite realizar un análisis completo del disco duro.


- PTK: busca archivos, genera hash y analiza discos duros.
- OSForensics: busca archivos, genera hash y analiza discos duros
montados previamente.
- FTK Imager: permite realizar montaje de discos y analizarlos.
- Encase: es la herramienta más completa del mercado, permite buscar,
recolectar, preservar y analizar de manera inmediata datos en todos los
equipos y servidores de la compañía, sin necesidad de detener las
operaciones.

2. PROPUESTA DE EXTREMOS
2.1 Determinación de Extremos

Los extremos que podría determinar un Juez en un informe pericial, son los
siguientes:

- ¿Qué comportamiento histórico se observó en la terminal al realizar el


proceso?
- ¿Qué documentos estaban abiertos recientemente?
- ¿Se tiene historial web?
- ¿Qué búsquedas web relacionadas con el caso existen?
- ¿Qué usuarios se encontraron en el análisis del disco duro?
- ¿Qué tipos de archivo se encontraron en el disco duro y/o USB?
- ¿Cuál es la fecha de último acceso a los archivos anteriores?

2.2 Previsión Pruebas Técnicas

Las pruebas técnicas que se realizarán, serán las siguientes con base en cada
una de las imágenes:

 RAM:
- Se comprobará que tanto el Sha1 y el Md5 de la imagen que se obtuvo de
la memoria, sean iguales a los recibidos en la entrega inicial. Lo anterior se
ejecutará con el aplicativo FTK Imager.
- Se realizará validación de información de imagen, para conocer de qué tipo
de sistema se extrajo la imagen.
- Se realizará un volcado de memoria para averiguar los procesos que se
estaban ejecutando. Herramienta: Volatility.
- Se validarán conexiones abiertas. Herramienta: Volatility.
- Se comprobarán servicios activos. Herramienta: Volatility.

 USB:
- Se comprobará que tanto el Sha1 y el Md5 de la imagen que se obtuvo de
la memoria, sean iguales a los recibidos en la entrega inicial. Lo anterior se
ejecutará con el aplicativo FTK Imager.
- Analizar tipo de volúmenes que tiene la USB. Herramienta: Autopsy y FTK.
- Verificar los tipos de archivos que contiene. Herramienta: Autopsy.
- Verificar archivos borrados. Herramienta: Autopsy.
 Disco Duro:
- Se comprobará que el Md5 de la imagen que se obtuvo de la memoria, sean
iguales a los recibidos en la entrega inicial. Lo anterior se ejecutará con el
aplicativo FTK Imager.
- Analizar volúmenes de DD con Aplicativo Autopsy y FTK Imager.
- Analizar tipos de archivos con herramienta Autopsy
- Analizar usuarios registrados en la imagen con Autopsy y WRR.
- Analizar datos básicos del Sistema Operativo con Autopsy.
- Analizar contenido web con aplicativo Autopsy.
- Verificar datos borrados con aplicativo Autopsy.

3. ANÁLISIS IMAGEN RAM


3.1 Validación de SHA1 y MD5

Por medio de éste elemento, se realiza la validación de que el objeto en


custodia sea el mismo de la incautación y que no haya sufrido modificación o
alteración alguna.
Para realizar ésta tarea, se implementa mediante la máquina virtual VMware
con un sistema Operativo Windows 7 Home Edition, el software FTK Imager
de la siguiente manera:

a) Se ejecuta AccesData FTK Imager:

Ilustración 2: Escritorio VMware


b) Una vez carga el aplicativo, se carga la imagen. File > Add Evidence Item >
Image File > Siguiente > Se selecciona la imagen y Finish. Una vez carga la
imagen, se da clic derecho sobre el nombre de la imagen en el árbol del
aplicativo y seleccionamos, “Verify Drive/Image”:

Ilustración 3: Verificar Drive/Image

c) Una vez culmina el proceso, se observan los valores SHA1 y MD5. Se


compara con los valores SHA1 y MD5 que se tienen en el inicio de la
custodia del equipo y se observa que el valor es idéntico, por lo que se
deduce que el archivo es el original y no ha tenido alteraciones:

Ilustración 4: HD5 y SHA1 Memoria


3.2 Información de la Imagen

Se usa el comando imageinfo para obtener la información del sistema al cual


pertenece la imagen:

C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe -f
C:\Us\Ficheros_TFM\RAM\ANN-PC-20151021-135652_raw\ANN-PC-
20151021-135652.raw imageinf

Ilustración 5: Resultado comando Imageinfo

Se observa que la memoria fue tomada de un equipo que estaba ejecutando


un sistema Operativo Windows 7 y cuyo equipo cuenta con 1 sólo procesador.

3.3 Información de Procesos

Teniendo ya el Profile del sistema auditado (en el caso anterior es el profile


Win7SP0x86) obtenido a través del dato que otorga el sistema en el campo
Image Type (Service Pack) = 0, se implementa el comando pslist, para
obtener los procesos que se estaban ejecutando en su momento:

C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe --
profile=Win7SP0x86 -f C:\Users\diegofga\Desktop\Ficheros_TFM\RAM\ANN-PC-
20151021-135652_raw\ANN-PC-20151021-135652.raw pslist

Ilustración 6: Resultado comando Pslist


En el análisis anterior, con el comando Pslist, se observa en ejecución el
aplicativo WinHex, el cual es un editor hexadecimal que permite visualizar en
Disco, archivos y RAM cualquier aplicativo que se encuentre en el sistema, sin
importar que trate de ocultarse o no, lo que lo convierte en un aplicativo
implementado en la informática forense para recuperación de archivos y
visualización de archivos y procesos que un usuario determinado quiere
ocultar. Por otra parte se visualiza el uso del aplicativo TrueCrypt, el cual es
una herramienta que permite el cifrado y ocultamiento de datos por parte de un
usuario en un computador, por lo que según lo anteriormente dicho, se observa
la intención por parte de la pareja de ocultar información que consideran
importante, ante cualquier posible decomiso o pérdida del equipo, por lo que
previendo esto, el equipo investigador implementa WinHex, con el objetivo de
poder capturar todos aquellos archivos o procesos que pudiesen estar ocultos.
Analizando los otros procesos, no se observan mayores novedades en la
visualización de éstos, salvo la ejecución de conversaciones a través del
aplicativo Skype (proceso skype.exe), actualización en curso de aplicativo
Dropbox (DropboxUpdate) y el proceso del software que se usa para extraer la
foto de la memoria RAM que se llama DumpIt (DumpIt.exe). Los demás
procesos son parte del sistema Windows.

3.4 Información de Servicios

Con el Profile del sistema auditado (en el caso anterior es el profile


Win7SP0x86) obtenido a través del dato que otorga el sistema en el campo
Image Type (Service Pack) = 0, se implementa el comando svcscan, para
obtener los servicios que se estaban ejecutando en su momento:

C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe --
profile=Win7SP0x86 -f C:\Users\diegofga\Desktop\Ficheros_TFM\RAM\ANN-PC-
20151021-135652_raw\ANN-PC-20151021-135652.raw svcscan

Ilustración 7: Resultado comando svcscan


Dentro del análisis no se observa nada extraño, los servicios se observan con
normalidad. Con la ejecución del comando Svscan, se observan los siguientes
servicios “corriendo” en el instante de la captura de la RAM. Se incluye un
breve comentario acerca de la utilidad de cada servicio:
Offset: 0x951578
Order: 22
Start: SERVICE_DEMAND_START
Process ID: 860
Service Name: Appinfo (Permite elevación de privilegios a un usuario en alguna aplicación)
Display Name: Informaci?n de la aplicaci?n
Service Type: SERVICE_WIN32_SHARE_PROCESS
Service State: SERVICE_RUNNING
Binary Path: C:\Windows\system32\svchost.exe -k netsvcs

Offset: 0x951388
Order: 19
Start: SERVICE_BOOT_START
Process ID: -
Service Name: amdxata (Controlador que permite conexión entre Hardware y Software)
Display Name: amdxata
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\amdxata

Offset: 0x950c68
Order: 8
Start: SERVICE_SYSTEM_START
Process ID: -
Service Name: AFD (Driver que permite la entrada de funciones Winsock hacia Tcpip)
Display Name: Ancillary Function Driver for Winsock
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\AFD
Offset: 0x950878
Order: 2
Start: SERVICE_BOOT_START
Process ID: -
Service Name: ACPI (Controlador que tiene entre otras funciones, la responsabilidad la administración de energía y el plug and play)
Display Name: Controlador Microsoft ACPI
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\ACPI

Offset: 0x96e448
Order: 388
Start: SERVICE_AUTO_START
Process ID: 812
Service Name: wudfsvc (Administra procesos de host de controlador en modo usuario)
Display Name: Windows Driver Foundation - User-mode Driver Framework
Service Type: SERVICE_WIN32_SHARE_PROCESS
Service State: SERVICE_RUNNING
Binary Path: C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

Offset: 0x96e048
Order: 386
Start: SERVICE_DEMAND_START
Process ID: -
Service Name: WudfPf (Uno de los archivos principales de Windows, permite comunicación entre dispositivos de Hardware del PC)
Display Name: User Mode Driver Frameworks Platform Driver
Service Type: SERVICE_KERNEL_DRIVER
Service State: SERVICE_RUNNING
Binary Path: \Driver\WudfPf

3.5 Información de Conexiones

Se implementa el comando netscan, para obtener las conexiones que se


estaban ejecutando en su momento:
C:\Python27\volatility_2.4.win.standalone>volatility-2.4.standalone.exe --
profile=Win7SP0x86 -f C:\Users\diegofga\Desktop\Ficheros_TFM\RAM\ANN-PC-
20151021-135652_raw\ANN-PC-20151021-135652.raw netscan

Ilustración 8: Resultado comando netscan

Con la ejecución de Netscan, según los resultados anteriores, se observa que de


las 38 conexiones posibles, 26 están “en escucha”, es decir atentos a ser
contactados, 7 cerradas y 5 que se encuentran “Establecidas” con Ip foráneas y a
través de diferentes puertos. Las IP que se encuentran con conexión establecida,
son las relacionadas con los servicios en ejecución de Skype, Dropbox y Svchost
(en éste último conectándose a la IP: 109.236.36.217 puerto: 1607).
4. ANÁLISIS IMAGEN USB
4.1 Validación de SHA1 y MD5

Por medio de éste elemento, se realiza la validación de que el objeto en


custodia sea el mismo de la incautación y que no haya sufrido modificación o
alteración alguna. Para realizar ésta tarea, se implementa mediante la máquina
virtual VMware con un sistema Operativo Windows 7 Home Edition, el software
FTK Imager:

a) Se ejecuta AccesData FTK Imager:

Ilustración 9: Escritorio VMware USB

b) Una vez inicia el aplicativo, se carga la imagen.

c) Una vez culmina el proceso, se observan los valores SHA1 y MD5. Se


compara con los valores SHA1 y MD5 que se tienen en el inicio de la
custodia del equipo y se observa que el valor es idéntico, por lo que se
deduce que el archivo es el original y no ha tenido alteraciones:

Ilustración 10: SHA y MD5 USB


4.2 Analizar Volúmenes USB

En ésta sección se validan los diversos volúmenes o particiones con las que
cuenta el dispositivo USB.

a) Se crea un nuevo proyecto en Autopsy, adicionando el nombre que se


desee y la ubicación donde se quiera crear el proyecto. Luego, se ejecuta el
análisis y se encuentran 3 volúmenes (sólo el Vol4 con datos):

Ilustración 11: Análisis volumen USB

b) Se valida con FTK Imager, más detalles acerca del volumen USB y se
detecta que los volúmenes sin datos, se observan en espacio sin particionar
y el volumen 4 (Vol4 en Autopsy) tiene como nombre “BADGUY”, es de 109
MB y adicional a ello tiene:
- Serial: CEF0-FEE0
- Total cantidad de Clúster en el archivo del sistema: 28.105.
- Clúster libres: 25.602.
- Tamaño de cada clúster: 4.096 bytes.

Ilustración 12: Análisis volumen USB FTK Imager


4.3 Verificar Tipos de Archivos USB

En éste apartado, se visualiza qué tipos de archivos encontró el escaneo de


Autopsy en la USB:

a) Ya habiendo generado el análisis preliminar de la imagen, se da clic sobre


“Views”, donde a mano izquierda se observan las extensiones de los
archivos encontrados en el escaneo y a mano derecha se ofrece una vista
previa de éstos mismos:

Ilustración 13: Vista tipos de archivo

b) Se valida el Vol4, y se observa una serie de archivos, de los cuales 2 de


ellos llaman la atención:
MAC
TIME
TA
FEC FEC M
Nombre Localiz Contenido FECHA FECHA HASH MD5
HA HA AÑ
Archivo ación Fichero CAMBIO ACCESO
MODIFIC CREAC O
ACIÓN IÓN LÓ
GI
C
O
AR
CH
IV
O
(B
yt
es
)

2015- 2015- 2015- 2015-


Pendientes.ods /img_USB.E01/vol_vol4/Pendientes.ods 1 6da97888ff474194bedc0cf99b5f
09-07 09-07 09-07 09-07
5 67de
05:10:4 05:20:3 05:20:3 05:20:3
7
2 COT 6 COT 6 COT 6 COT
6
6

2013- 2015- 2015- 2015-


whatsapp_castellan / 2 17c1db82b4827c126ccbcdc42de4
o.db img_USB.E01/vol_vol4/Old_compis/whatsapp_castellano.d 07-02 09-07 09-07 09-07
6 d711
b 00:47:1 05:24:4 05:24:2 05:24:2
6
2 COT 3 COT 5 COT 5 COT
2
4

Ilustración 14: Atributos Archivos Importantes

- Pendientes.ods: es un archivo de hoja de cálculo, en formato OpenOffice,


creado por un usuario llamado “Jacob”, según metadato del archivo. El cual,
aparentemente muestra información de las tarjetas de crédito de las
posibles víctimas, donde se observan: nombre de la víctima, número tarjeta
y franquicia (Visa, MasterCard Y American Express). Los datos son:
Visa
Visa Visa
4539456154526870
4532457001051150 4532657981372410
Concepción
Jose Maria Ignacio
Pérez Pozo
Rodriguez Martinez Torres Fernandez
Visa Visa American Express
4379166568413640 4539798471108420 347899917772631
Gabriel Elvira Ana
Riba Villar Sanchez Diez Silva Guzman
Visa Visa American Express
4929653751795980 4916277839380970 372157992412443
Pilar Federico Rodolfo
Moreno Hernandez Iglesias Ruiz Mora Canales
Visa American Express MasterCard
4532531411046010 372171730251559 5187401714297720
Alfonso Marcos Angeles
Mendez Sanchez Rubio Ortiz Cerezo Rojas
Visa American Express MasterCard
4485384240029660 376905910360151 5197841039013650
Esteban Juan Jose Jesus
Reyes Sierrra Roca Moyano Gaspar Barba
Visa American Express MasterCard
4532227440905600 347170350508035 5108656187294160
Juan Antonio Adolfo Andres
Prado Romero Castillo Valles Cifuentes Bautista

- Whatsapp_castellano.db: es una conversación que se observa por parte de


los presuntos delincuentes y donde, se visualizan conversaciones acerca
de los actos delictivos que llevarán a cabo y de los planes que tienen para
cometerlos. La conversación es la siguiente:
Buenos das! hablamos de como llevamos el tema de las tarjetas o no os atrevis....-1-1
99999999543-9999999997@g.us1320611691-257
Si si! hablemos que ya lo tenemos todo medio preparado no?
34635293190@s.whatsapp.net99999999543-9999999997@g.us1320611691-256
Jajajajajajajaja
34635293190@s.whatsapp.net 34660401445@s.whatsapp.net
99999999543-9999999997@g.us1320611691-264
Ningn problema, tu psame los nmeros y pins. Voy a un cibercaf de Matar y empiezo a hacer compras a saco!!!
34635293190@s.whatsapp.net99999999543-9999999997@g.us1320611691-266
Sk sin noo son nddd
34635293190@s.whatsapp.net99999999543-9999999997@g.us1320611691-265
Jajajaajajajajaja
34635293190@s.whatsapp.net
99999999543-9999999997@g.us1320875338-71
bien, entonces todo como acordamos, yo consigo los nmeros y los pins, Ral tu haces las compras por internet y Ivn te
enviamos la mercanca al piso falso de Tarragona con el dni falso que tienes. Hasta aqu todo claro como siempre...
99999999543-9999999997@g.us1320846588-40
eps tranquilo eh! que si haces compras ten en cuenta que solo puedo ir al piso de Tarragona cuando sepa que los
propietarios no son! as que las entregas solo pueden ser los viernes por la ma
ana!! o la liamos...
34660401445@s.whatsapp.net
99999999543-9999999997@g.us1320611691-267
OK Ivn, odo cocina! cuando haga las compras todas las entregas sern el mismo viernes, yo te aviso!
34635293190@s.whatsapp.net99999999543-9999999997@g.us1320875338-73
n(h0
99999999543-9999999997@g.us1320875338-85
OK dejarme trabajar un poco el phising y las alternativas para conseguir ms tarjetas... os digo algo
34999999118@s.whatsapp.net1329228194-14
1329431042-6
Clase normal?
KZX0
34999999118@s.whatsapp.net1329228194-
15 Las 3 primeras horas si
34999999118@s.whatsapp.net1329431042-7
Justo las k tngo
34999999118@s.whatsapp.net 99999999543-9999999997@g.us1324453804-755
yo ya estoy listo que necesito pasta!!!!
34660401445@s.whatsapp.net 1324922187-148
soy el ms fuerte! ya tengo todos los nmeros i pins vlidos para nuestro negocio del siglo!!!
99999999543-9999999997@g.us1322174230-2476
yo tb estoy listo, cuando quieras me lo envas }:X
34635293190@s.whatsapp.net 1324922187-149
Jajajajaja
99999999543-9999999997@g.us1322174230-2471
que es esto?
34635293190@s.whatsapp.net1324922187-145 99999999543-9999999997@g.us1322174230-2489
Jajajjaajaja
34635293190@s.whatsapp.net99999999543-9999999997@g.us 1324976991-5
l ya lo tienes en el correo, el pwd del zip es somosunoscracks... coordnate con Ivn y hablamos de repartir...
99999999268@s.whatsapp.net1329055101-403
Feliz sanvalentin 5}pD`0 5}sWU
99999999268@s.whatsapp.net 1329248548-1
Q ironia
99999999268@s.whatsapp.net 1329248548-3
En fin gracias jeje
99999999268@s.whatsapp.net 1329313839-1
Jjjajajasjs
99999999268@s.whatsapp.net 1329313839-2
Ya sapsss
99999999543-9999999997@g.us1324453804-757
contigo estamos tranquilos, eres un crack!
34660401445@s.whatsapp.net 99999999543-9999999997@g.us1322174230-2487
eres la ...
34635293190@s.whatsapp.net 1324922187-157
Jajajaja
99999999543-9999999997@g.us 1324922187-156
somos unos profesionales! mira que es fcil hacer pasta.....vivan los sobresueldos!
99999999543-9999999997@g.us 1324922187-155
adems soy un crack, porqu lo tengo todo escondido en mi ordenador, no me lo encontrara ni la poli ;p
34999999621@s.whatsapp.net 1329431042-3
y se tiene que entregar este fin de semana X_D
34999999621@s.whatsapp.net 1329431042-1
Hola Josep!
34999999621@s.whatsapp.net 1329431042-2
no me acord de avisarte....pero hay que hacer una prctica de la uoc y es muy difcil!
Jg?0
34999999118@s.whatsapp.net 1329431042-4
Laia :*
34999999118@s.whatsapp.net 1329431042-5
a a k hora hay k ir al cole????
99999999543-9999999997@g.us1329233070-68
estais aqu? mi vecina me ha dicho que ha venido la policia a mi casa pero no han dicho nada...sera una multa....pero por si
acaso os aviso...
34635293190@s.whatsapp.net34999999092@s.whatsapp.net1329431613-21
Feooo
34999999092@s.whatsapp.net1329431613-22
&nl0
34999999092@s.whatsapp.net1329428743-3
Jejeje
34999999092@s.whatsapp.net1329431613-23
a buena hora
34999999621@s.whatsapp.net1329469564-1
y ahora me lo dices! ya te preguntar
lo que no me salga...
34999999621@s.whatsapp.net1329072764-
21 hola carlos
34999999118@s.whatsapp.net1329431042-
10 Bueno ps nos vemos.m
a :)
34999999621@s.whatsapp.net1329072764-
22 ah! yo ya la he hecho y entregado
34999999621@s.whatsapp.net1329469564-2
4.4 Verificar Archivos Borrados USB

En éste apartado, se visualiza si existen o no archivos que se hayan borrado


en algún momento y que hayan sido detectados por Autopsy:

a) Validando la sección de “Deleted Files”, donde se observan los archivos


que han sido borrados, se visualiza que han sido eliminados 12 archivos,
los cuales se pueden recuperar, pero después de analizar cada archivo, se
concluye que todos son archivos de sistema denominados OrphanFiles
(causados posiblemente por la desinstalación de algún programa) y los
cuales no aportan mayor información en ésta investigación:

Ilustración 15: Vista archivos borrados USB


5. ANÁLISIS IMAGEN DISCO DURO
5.1 Validación de SHA1 y MD5

Por medio de éste elemento, se realiza la validación de que el objeto en


custodia sea el mismo de la incautación y que no haya sufrido modificación o
alteración alguna.
Para realizar ésta tarea, se implementa mediante la máquina virtual VMware
con un sistema Operativo Windows 7 Home Edition, el software FTK Imager.

a) Para agilizar el proceso de comparación de Hash de las imágenes, se crea


una carpeta donde se guardan todas las imágenes, se da clic en “Add
evidence ítem” > seleccionar “Contents of a folders” > Seleccionar la
carpeta clic en “Finish”:

Ilustración 16: Cargar imagenes HD FTK Imager

b) Se comparan con los valores MD5 que se tienen en el inicio de la custodia


del equipo vs. los generados por FTK Imager. Se observa similitud en todos
los MD5, lo que permite determinar de que la evidencia no ha sido alterada:

Ilustración 17: Comparativo hashes generados vs. hashes obtenidos


5.2 Analizar Volúmenes Disco Duro

En ésta sección se validan los diversos volúmenes o particiones con las que
cuenta el disco duro.

a) Se crea un nuevo proyecto en Autopsy, adicionando el nombre que se


desee y la ubicación donde se quiera crear el proyecto. Se adiciona la
imagen. En éste caso sube la imagen E01:

Ilustración 18: Creación proyecto Autopsy

b) Se observan la imagen del HD:

Ilustración 19: Imagen del HD

c) Al dar clic sobre la raíz de la imagen, se observa un solo volumen.

Ilustración 20: Composición volumen imagen


Se valida con FTK Imager, más detalles acerca del volumen Ann_HD y se
detecta que sólo tiene una partición, la cual no tiene nombre, es formato
NTFS y adicional a ello tiene:
- Serial del volumen: B8C7-F9EE.
- Total cantidad de Clúster en el archivo del sistema: 2.554.343
- Clúster libres: 290.887
- Tamaño de cada clúster: 4.096 bytes.

Ilustración 21: Datos volumen Ann_HD

5.3 Analizar archivos/documentos


En éste apartado, se visualiza qué tipos de archivos encontró el escaneo de
Autopsy en el Disco Duro:

a) Archivos Multimedia (Imágenes/Videos/Audios)


Se validaron las imágenes, videos y archivos de audio que se encuentran
en el disco duro analizado (aprox. 3947 archivos), tanto para el usuario Ann
como para Tom, pero no se encontraron fotos diferentes a Fin de año,
muestras artísticas, sistemas y software instalado, ni videos y audios
diferentes a los que por defecto instala el sistema operativo y las
aplicaciones que se instalan en el computador, salvo un archivo llamado
“Playa.png” ubicado en la carpeta “Fotos” de la usuaria “Ann”, cuyos datos
hexadecimales contienen información de tarjetas de crédito, fecha de
expiración y banco al que pertenece:

4501-4402-3394-4978, CVV2, 945, 12/2020, Visa,


4353-1771-2572-6175, CVV2, 679, 02/2018, Visa, Credit Union Card Services
4556-1953-8896-5327, CVV2, 310, 04/2017, Visa, Credit, Bank of America N.T. & S.A.
4532-5862-4925-2708, CVV2, 366, 11/2019, Visa, Kaohsiung Business Bank
4716-5557-4071-7020, CVV2, 987, 01/2017, Visa Credit, U.S. Bank N.A. Nd
4324-7386-7513-4114, CVV2, 957, 10/2018, Visa,
4556-5270-6025-5686, CVV2, 625, 06/2017, Visa,
4929-2834-3963-0171, CVV2, 848, 11/2019, Visa Credit, Barclays Bank
Plc 4532-1660-7026-0201, CVV2, 046, 04/2020, Visa,
4532-6574-8439-1905, CVV2, 501, 04/2017, Visa Debit, The Kearny County Bank
4532-8582-8041-9961, CVV2, 066, 10/2019, Visa, Wells Fargo Bank
4929-3771-0219-1725, CVV2, 086, 12/2020, Visa Credit, Barclays Bank
Plc 4916-8225-3084-0836, CVV2, 428, 08/2017, Visa,
4929-0712-1804-7877, CVV2, 199, 11/2017, Visa Credit, Barclays Bank Plc
4716-8492-9122-4373, CVV2, 532, 10/2018, Visa Credit, U.S. Bank N.A. Nd

b) Archivos
Se validaron los archivos en diferentes formatos en la imagen analizada y
se encontró lo siguiente:
MAC
TIME
TAM
FECHA
FECH FECH AÑO
Nombre Archivo Localización Contenido Fichero MODIFIC HASH
A A LÓGI
ACIÓ N MD5
ACCES CAMB CO
O IO ARCH
IVO
(Byte
s)

/img_Ann_HD.E01/Users/Ann/Downloads/ListadoNumeraciones.zip 2015-09- 2015-09- 2015-09-


ListadoNumeraciones 62151 null
Usuario: Ann 07 07 07
.zip
12:36:29 12:36:29 12:36:23
COT COT COT

/img_Ann_HD.E01/Users/Ann/Downloads/TheJerm.rar 2015-09- 2015-09- 2015-09-


TheJerm.rar 81265 null
Usuario: Ann 07 07 07
9
05:35:23 05:35:25 05:35:17
COT COT COT

2015-09- 2015-09- 2015-09-


Pedo.rar /img_Ann_HD.E01/Program Files/Windows Photo Viewer/es- 21442 null
04 04 04
ES/Pedo.rar 4852
08:08:06 08:23:54 08:23:42
COT COT COT
Ilustración 22: Archivos relevantes Ann_HD

Se encontraron dos archivos en .rar y uno en .zip. El archivo llamado


“ListadoNumeraciones.zip” de la usuaria Ann, tiene en su interior un archivo
ejecutable (.exe), el cual no pudo ser analizado por tener contraseña de
extracción, la cual no pudo ser encontrada. El archivo “TheJerm.rar”,
también de la usuaria Ann, contiene en su interior, al parecer, el instalador
del Software TheJerm, el cual sirve para obtener datos de tarjetas de
crédito. Por último, el archivo “Pedo.rar”, no es posible validar ya que tiene
contraseña de ingreso la cual no pudo ser encontrada en los análisis
realizados.

c) Documentos
De los documentos que se encontraron y analizaron en éste caso, entre
archivos de Office, HTML, Pdf, Txt y Rtf, se encontró 1 archivo llamado
“pwd2.txt.txt”, en la carpeta “Documents” de la usuaria “Ann”, donde al
parecer se visualizan las contraseñas de los correos que implementan para
enviar y recibir mensajes y archivos:
Annetom22@hotmail.com
AnneTom1980!
FromTom75@hotmail.com
Tommane75!

Posterior a éste análisis, no se obtuvo información relevante para la


investigación, dado a que la gran mayoría son archivos de libros de
literatura universal o archivos de registro del sistema y sólo 2 archivos
tienen que ver con temas informativos: “Guías de usuario” del aplicativo
Dropbox y TrueCrypt.

5.4 Analizar usuarios registrados en la imagen

En ésta sección se visualizan tanto los usuarios que tienen cuenta de usuario
en el equipo, como el (la) usuario(a) que se encontraba registrado en el
momento de la incautación del equipo.

a) En el sistema se observan 2 usuarios reales, uno es llamado Ann y el otro


Tom, los otros usuarios que se observan, son usuarios que trae por defecto
el sistema:

Ilustración 23: Vista usuarios Imagen HD

b) Para visualizar el usuario que estaba con la sesión abierta en el momento


de recolección del equipo, se da clic en “Extracted Content” y luego en
“Operating System User Account”. Se observa que en ese instante estaba
la usuaria Ann con sesión abierta en el sistema operativo:
Ilustración 24: Usuarios sesión abierta Windows

c) Para determinar la fecha y hora de último ingreso y cambio de contraseña


de cada usuario, se toma el archivo SAM que se encuentra en la ruta:
/img_Ann_HD.E01/Windows/System32/config, se extrae y se analiza con el
software WRR (Windows Registry Recovery), con lo cual se obtiene lo
siguiente:

- Usuario: Ann
a) Fecha y hora del último “logon” del usuario: 21/10/2015 - 13:54:18
b) Fecha y hora del último cambio de contraseña: 02/09/2015 - 10:17:38

Ilustración 25: Datos Ann

- Usuario: Tom
a) Fecha y hora del último “logon” del usuario: 21/10/2015 - 9:03:02
b) Fecha y hora del último cambio de contraseña: 02/09/2015 - 10:20:38

Ilustración 26: Datos Tom


Con lo anterior, se observa que ambos usuarios registraron su último acceso y
cambio de contraseña los mismos días, aunque con diferente horario.

5.5 Analizar Datos Básicos Sistema Operativo

En ésta sección se visualizan los datos básicos del sistema operativo instalado
en la máquina, tales como versión, distribución y producto, entre otros.

Se detectaron los siguientes datos posteriores al análisis con Autopsy:

- El Sistema es versión Windows NT, arquitectura del procesador x86, y con


nombre: ANN-PC.
- Distribución sistema Operativo: Windows 7 Professional.
- Product ID: 00371-868-0000007-85653
- Usuario: Ann
- Organización: (Sin dato)

Ilustración 27: Datos Sistema Operativo

5.6 Analizar contenido web

En éste apartado se visualizará el contenido web encontrado en el análisis.

a) Correo electrónico (Email Adresses):


Realizando el análisis y validaciones del caso, se encontró el registro de 12
direcciones de correo electrónico, de las cuales 1 llamada
“fromtom75@hotmail.com”, coincide aparentemente con uno de los usuarios del
equipo (Tom) y otra dirección de Email denominada
“loginfmtFromTom75@hotmail.com” que al parecer, es una dirección que captura
información de tarjetas de créditos en formularios web y lo remite a éste mismo
usuario:
Ilustración 28: Archivos Email

b) Páginas e Historial Web


- Validando las Búsquedas web, se observa que la usuaria Ann, ha estado
consultando a través de la página web de Google en España
(www.google.es) temas de cómo crear una cuenta en Hotmail, pero la
búsqueda que más llama la atención es la que realiza sobre el “msr 206
software”, el cual es usado para capturar información de tarjetas de crédito.
El usuario Tom tiene como última búsqueda la descarga del navegador
Chrome:

Ilustración 29: Búsqueda Ann

- Analizando las Descargas Web, se detectan las siguientes descargas que


implicarían parte del delito. Dichos archivos tras el análisis respectivo se
encontraron también en el disco bajo usuario Ann. Anexo una columna de
observaciones:
FECHA
USUAR RUTA DESCARGA ARCHIVO DOMINIO OBSERVACIONE
DESCAR
IO DESCARGA DESCARGA S
GA
2015-09- C:/Users/Ann/Download
Ann wrar521es.exe d.winrar.es Software
07 - s/
Compresor.
05:39:22 wrar521es.exe
COT
Software para
2015-09- C:/Users/Ann/Downloads/
Ann TheJerm.jar download489.mediafire.co obtener datos de
07 - T heJerm.jar
m tarjetas de
05:35:22 crédito.
COT
Posible listado de
2015-09- C:/Users/Ann/Downloads/ wetranfer-
Ann ListadoNumeraciones.zi tarjetas de
07 - Li eu1.s3.amazonaws.com
p crédito robado a
12:36:27 stadoNumeraciones.zip
COT las víctimas.
Ilustración 30: Descargas Web

Ilustración 31: Descargas en Disco Usuario Ann


- Observando los registros del Historial Web, se detectan los siguientes como los
más relevantes:

DETA FECHA USUA NAVEGA DIRECCIÓN


LLE ACCESO RIO DOR WEB
ListadoNumeraciones.zip 07/09/2015 Ann FireFox eu1.s3.amazonaws.com/481306a6847e3343a08
12:36 4d
ListadoNumeraciones.zip 07/09/2015 Ann FireFox eu1.s3.amazonaws.com/481306a6847e3343a08
12:36 4d
WeTransfer 07/09/2015 Ann FireFox https://www.wetransfer.com/downloads/481
12:35 30
MSR605 - YouTube 07/09/2015 Ann FireFox https://www.youtube.com/watch?
05:39 v=D1Ewr_04pI
MSR606 SOFTWARE, FREE DOWNLOAD LINK , FREE TOUTRIAL , + Manual - 07/09/2015 Ann FireFox https://www.youtube.com/watch?
YouTube 05:37 v=wkNXprjvn
TheJerm.rar 07/09/2015 Ann FireFox http://download1489.mediafire.com/bx63qjk
05:35 6k0
TheJerm 07/09/2015 Ann FireFox http://www.mediafire.com/download/z1x1b8
05:34 vg
MSR 206 Software Manual + Free Download Link , Thejerm Software Original - 07/09/2015 Ann FireFox https://www.youtube.com/watch?
YouTube 05:33 v=CzSovVUcc
msr 206 software - Buscar con Google 07/09/2015 Ann FireFox https://www.google.es/search?
05:33 q=msr+206+soft
Pago y envío: Dirección de envío 07/09/2015 Ann FireFox https://guestcheckout.payments.ebay.es/ws/
05:32 eB
Magnetic Card Reader Writer Encoder Stripe Magstripe Credit Compat MSR206 MSR606 | 07/09/2015 Ann FireFox http://www.ebay.es/itm/Magnetic-Card-
eBay 05:32 Reader-
eBay.es: msr 206 en venta. Compra msr 206 al mejor precio 07/09/2015 Ann FireFox http://www.ebay.es/sch/i.html?
05:31 adpos=1t2&ul_n
msr 206 - Buscar con Google 07/09/2015 Ann FireFox https://www.google.es/search?
05:31 q=msr+206&ie=u
¿Qué es la evasión de impuestos? - PARAISOS FISCALES 04/09/2015 Tom Chrome http://www.paraisos-
08:16
Evitar los impuestos legalmente - Rankia 04/09/2015 Tom Chrome http://www.rankia.com/foros/bolsa/temas/10
08:15 72
Las siete escapatorias de los más ricos para no pagar impuestos - 04/09/2015 Tom Chrome http://www.eleconomista.es/espana/noticias/
elEconomista.es 08:14 3
Manual para evadir impuestos | Gerencie.com 04/09/2015 Tom Chrome http://www.gerencie.com/manual-para-
08:14 evadir-
Las cinco estrategias favoritas de los ricos para evadir impuestos - BBC Mundo 04/09/2015 Tom Chrome http://www.bbc.com/mundo/noticias/2014/0
08:13 5/1
¿Cómo abrir una cuenta bancaria en Suiza? - Rankia 04/09/2015 Tom Chrome http://www.rankia.com/blog/opiniones/19927
08:12 27-
TrueCrypt User Guide.pdf 03/09/2015 Ann FireFox file:///C:/Program
14:27 %20Files/TrueCrypt/TrueCrypt
Outlook.com - annetom22@hotmail.com 03/09/2015 Ann FireFox https://snt147.mail.live.com/?fid=fldrafts
11:33
Outlook.com - annetom22@hotmail.com 03/09/2015 Ann FireFox https://snt147.mail.live.com/default.asp
11:33 x
Outlook.com - annetom22@hotmail.com 03/09/2015 Ann FireFox https://snt147.mail.live.com/?
11:18 page=Compose
Outlook.com - annetom22@hotmail.com 03/09/2015 Ann FireFox https://snt147.mail.live.com/default.asp
11:16 x
Ilustración 32: Historial Web

De los registros anteriores, se detecta que la usuaria Ann, se destaca por la


búsqueda y adquisición de herramientas que permitan la obtención de los datos de
las tarjetas de crédito (Software TheJerm ó MSR 206), lector de tarjeta de crédito
a través de eBay y adquisición de los números de tarjetas de las víctimas, usando
como email de registro annetom22@hotmail.com, de igual manera la visualización
de información respecto a la herramienta TrueCrypt, la cual sirve para encriptar y
ocultar datos y archivos y la cual se detectó en uso en el análisis de la RAM.
Por su parte, el usuario Tom, ha estado encargado de la búsqueda de temas
relacionados con evasión de impuestos y traslado de dinero a cuentas de Suiza y
paraísos fiscales.

5.7 Verificar datos borrados


Aquí se observan los archivos que han sido borrados y se selecciona si desean
ser recuperados para su posterior análisis o prueba reina del proceso.

a) Al validar los archivos que han sido eliminados, se observa que la gran
mayoría de éstos, son archivos del sistema o aplicativos instalados en éste,
que no tienen mayor trascendencia dentro de la investigación. Sólo se
encontraron un par de registros en formato pdf, pero su contenido son libros
de literatura universal, lo que también permite determinar que no tienen
mayor importancia en éste caso puntual, pero que si tienen relevancia en
temas de violación de derecho de autor.

Ilustración 33: Archivos borrados HD

b) Se recuperan los archivos para analizarlos y conocer si existe algún dato


importante que aporte al caso dando clic derecho y “Extract Files(s)” > se
seleccionó la ruta donde se deseaba almacenar (por defecto carpeta
“Export” de la ruta del proyecto):

Ilustración 34: Recuperación archivo eliminado


Tras la recuperación y validación de los archivos se encontraron en resumen
algunos archivos como: 5 accesos directos y 8 archivos de pdf de libros de
literatura universal protegidos por derechos de autor, 40 archivos ejecutables
(.exe), 49 archivos planos (.txt), 74 imágenes (extensiones .bmp, .gif, .jpeg, .png) y
3 archivos de configuración .xml. De lo anteriormente descrito, ningún archivo
muestra algo relevante para éste caso, sólo un archivo llamado “config.xml”, el
cual se encuentra en la ruta:
/img_Ann_HD.E01/Users/Ann/AppData/Roaming/Skype/annetom22/config.xml, el
cual muestra en su codificación de que hubo una transferencia de algún archivo a
través del aplicativo Skype a la usuaria Ann:

<Transfer>
<AutoAcceptMessagingShown>1</AutoAcceptMessagingShown>
</Transfer>
<TransferAutoAccept>1</TransferAutoAccept>
<TransferAutoSave>1</TransferAutoSave>
<TransferSaveDir>C:\Users\Ann\AppData\Roaming\Skype\My Skype Received Files\</TransferSaveDir>
</UI>

5.8 Analizar Otros Archivos/Aplicativos


a) Skype
Realizando el análisis sobre ésta aplicación, se encuentra que la usuaria Ann,
ingresa en dicho sistema bajo el nombre AnneTom22 y tiene conversaciones con
los usuarios: rickyrodriguezgarcia y aram768. En ambas conversaciones, tratan
acerca de unas fotografías, las cuales al ser consultadas en la carpeta de “My
Skype Received Files” muestran solo imágenes de un parque, sin mayor detalle al
respecto.

Conversación 1 rickyrodriguezgarcia:
live:rickyrodriguezgarcia
A ver... Te digo algo...
¿Es lo que parece?
Tiene una contraseña y supongo que sera la de siempre...
Esto es un poco raro...
De acuerdo!
annetom22

Conversación 2 rickyrodriguezgarcia:
annetom22
Saludos, ya he recibido las fotos...
live:rickyrodriguezgarcia
Me alegro... ¿Todo bien?
!xi:
De fábula, pero… he olvidado la contraseña…
¡Pues qué bien!
...lo siento...
¿Puedes pasármela?
Tú mismo... ¿A ti qué te parece?
Tampoco entremos en modo paranoico… No creo que pase nada
Evidentemente, nunca pasa nada... En fin, aquí va: KaPow581!/SkM*
Gracias, recuerdos a Tom
VBB!
Hasta luego Ricky
annetom22

Conversación 1 aram768:
live:aram768
No te preocupes, yo tambien algo liada...
][tf
V:sk\R
annetom22
hola ya estoy aqui de nuevo... ahi van las fotos
<files alt="envió los archivos &quot;20150907_162718.jpg&quot;, &quot;20150907_162746.jpg&quot;,
&quot;20150907_162819.jpg&quot;">
<file size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file><file size="915872" index="1"
tid="3072807454">20150907_162746.jpg</file><file size="1916793" index="2"
tid="4224092791">20150907_162819.jpg</file></files>
"<files alt="envió los archivos &quot;20150907_162718.jpg&quot;, &quot;20150907_162746.jpg&quot;,
&quot;20150907_162819.jpg&quot;">
<file size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file>
<file status="canceled" size="915872" index="1" tid="3072807454">20150907_162746.jpg</file>
<file size="1916793" index="2" tid="4224092791">20150907_162819.jpg</file></files>
=D72
:IIs{P
"<files alt="envió los archivos &quot;20150907_162718.jpg&quot;, &quot;20150907_162746.jpg&quot;,
&quot;20150907_162819.jpg&quot;">
<file status="canceled" size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file>
<file status="canceled" size="915872" index="1" tid="3072807454">20150907_162746.jpg</file>
<file size="1916793" index="2" tid="4224092791">20150907_162819.jpg</file></files>
=D82
"<files alt="envió los archivos &quot;20150907_162718.jpg&quot;, &quot;20150907_162746.jpg&quot;,
&quot;20150907_162819.jpg&quot;">
<file status="canceled" size="1058873" index="0" tid="1723279713">20150907_162718.jpg</file>
<file status="canceled" size="915872" index="1" tid="3072807454">20150907_162746.jpg</file>
<file status="canceled" size="1916793" index="2" tid="4224092791">20150907_162819.jpg</file></files>
=D92
Pues si, lo conozco. Tienes razon, es muy discreto. ¿Que tal el proximo sabado a las 17:00?
H0\;
BF[O0Ac
6zUg
Perfecto, hasta luego pues
annetom22
live:aram768

b) Programas/aplicaciones instaladas
Analizando la imagen del disco, se observan las siguientes
aplicaciones/programas instalados en el computador inspeccionado:

- Dropbox
- DVD Maker
- EaseUS
- Internet Explorer
- Mozilla Firefox
- Mozilla Maintenance Service
- MSBuild
- OpenOffice
- S-Tools
- Skype
- TrueCrypt
- Windows Defender
- Windows Journal
- Windows Mail
- Windows Media Player
- Windows Photo Viewer
- Winhex
- Winrar

Con lo anterior, llama la atención los aplicativos WinHex y TrueCrypt, los cuales
son usados para ocultar archivos/datos (Truecrypt) y para validar archivos
ocultos(Winhex).
6. INFORME PERICIAL

6.1 Objeto
El objetivo del presente informe es mostrar el contenido, con base en las
evidencias informáticas incautadas de imagen del disco duro del ordenador,
memoria RAM y dispositivo USB, realizada por el personal especializado de la
policía, que pueda imputar a las personas identificadas con los usuarios: Ann y
Tom con el delito de clonación de tarjetas de crédito u otro delito que pueda ser
detectado en ésta investigación.

6.2 Antecedentes

En la realización de un allanamiento a un domicilio de una pareja, se visualizó


y decomisó un computador personal y un dispositivo USB, que pudiese ser
objeto de un delito de clonación de tarjetas de crédito. Los agentes de la
brigada especializada toman el ordenador y le realizan la clonación al disco
duro y del dispositivo USB, para posteriormente, utilizando las debidas normas
de custodia, enviarlas al laboratorio para su análisis y peritaje.

6.3 Análisis
6.3.1 Estudio Memoria RAM

En éste apartado, se cita la información que se obtuvo en el análisis de la


memoria RAM.

6.3.1.1 Validación de Integridad RAM de SHA1 y MD5


A través de la ejecución de la herramienta Autopsy, se generó el SHA1 y MD5
de la imagen y se comparó con la entregada por los especialistas al recibir la
información en custodia, la conclusión, valores exactos entre ambas revisiones,
por lo que demuestra que la imagen no ha sido alterada. Los resultados del
SHA1 y MD5 son:

MD5: 2B5AC23E63FC7FE3627D67CE53B41738
SHA-1: 3B62577D24AA185D7F031E43C6599BF25A401FC4

6.3.1.2 Información de la imagen de la RAM


Con lo que se pudo conocer, el computador incautado, tiene sistema Operativo
Windows 7 de 32 bits y cuenta con un solo procesador.
6.3.1.3 Información Ejecución de procesos de la RAM
Para obtener la información de los procesos que se encontraban en ejecución,
se ejecutó el comando “pslist”, invocando al aplicativo Volatility.
Se obtuvo como resultado, que en el momento de la toma del PC se
encontraban ejecutándose el proceso de mensajería Skype, la actualización
del aplicativo Dropbox y el software de captura de imagen de memoria DumpIt,
además del aplicativo WinHex, el cual es un editor hexadecimal que permite
visualizar en Disco, archivos y RAM cualquier archivo/documento que se
encuentre en el sistema oculto y el uso del aplicativo TrueCrypt para
encriptación de archivos, los demás procesos que se ejecutaban en el
momento eran los del Sistema, por lo que no se encontró mayor novedad al
respecto.

6.3.1.4 Información Ejecución de servicios de la RAM


Para obtener la información de los servicios que se encontraban en ejecución,
se ejecutó el comando “svcscan” por línea de comando, invocando al
aplicativo Volatility.

Con lo anterior, se evidenció que los únicos procesos que se estaban


ejecutando eran los procesos del sistema operativo, por lo que no se observó
ninguna novedad o acción sospechosa al respecto.

6.3.1.5 Información Conexiones


Para obtener la información de las conexiones que se encontraban en
ejecución, se ejecutó el comando “netscan” por línea de comando, invocando
al aplicativo Volatility.

Se observa, con el comando anterior, que las conexiones que estaban


establecidas en el momento, corresponden a los mismos servicios de Skype y
Dropbox. Por lo que tampoco se detectaron conexiones sospechosas.

6.3.2 Estudio Dispositivo USB


En ésta sección, se cita la información que se obtuvo en el análisis del
dispositivo USB.
6.3.2.1 Validación de Integridad USB de SHA1 y MD5
A través de la ejecución de la herramienta Autopsy, se generó el SHA1 y MD5
de la imagen y se comparó con la entregada por los especialistas al recibir la
información en custodia, la conclusión, valores exactos entre ambas revisiones,
por lo que demuestra que la imagen no ha sido alterada. Los resultados del
SHA1 y MD5 son:

MD5: 5b07876cc6c4d6602f02797b1522253d
SHA1: f2afec753f78fae32f0c8bb6bd94f88096baf3e0

6.3.2.2 Validación de Volúmenes dispositivo USB


Mediante la herramienta FTK Imager, se obtuvo información detallada acerca
del volumen USB, en donde se conoció el nombre de la USB: “BADGUY” y el
serial del dispositivo: “CEF0-FEE0”. No se encontró novedad alguna respecto a
ésta validación.

6.3.2.3 Validación Tipos de archivos USB


Mediante la herramienta Autopsy, se detectaron 2 archivos importantes:
- Pendientes.ods: es un archivo de hoja de cálculo, en formato OpenOffice,
creado por un usuario llamado “Jacob”, el cual contiene datos de tarjetas de
créditos de supuestas víctimas.
- Whatsapp_castellano.db: archivo con conversaciones de los delincuentes
donde se evidencia conversaciones acerca de los actos delictivos que
llevarán a cabo.
6.3.2.4 Validación archivos Borrados USB

Una vez se validaron los archivos borrados de la USB, los cuales se observan
en la herramienta Autopsy, se detecta que los archivos que han sido
eliminados (12 en total), no evidencian ningún archivo delictivo o sospechoso.

6.3.3 Estudio Disco Duro

En ésta unidad, se cita la información que se obtuvo en el análisis del disco


duro.

6.3.3.1 Validación de Integridad Disco Duro de MD5

A través de la ejecución de la herramienta Autopsy, se generó el SHA1 y MD5


de la imagen y se comparó con la entregada por los especialistas al recibir la
información en custodia, la conclusión, valores exactos entre ambas revisiones,
por lo que demuestra que la imagen no ha sido alterada. Los valores de hash
MD5 son:

Ann_HD.E01 MD5: 605AF7E1797C758D1054BC47318F368D


Ann_HD.E02 MD5: E8526F16941687D0BE4617A7B35F7E3C
Ann_HD.E03 MD5: D797C7F4472715498CD26C23D5172ECD
Ann_HD.E04 MD5: 2FF1EAEF031D7DD23A26AC7152D60D5B
Ann_HD.E05 MD5: A980BB347EACD1E63B7E6D3D050B1448
Ann_HD.E06 MD5: AB837AD64BC28DE7EE726ADAAFA4A65F
Ann_HD.E07 MD5: 7C39350B00BA560B19A8BA3CB12953A8
Ann_HD.E08 MD5: 06C797A111CA1DA94996F8E970728D2F

6.3.3.2 Validación de Volúmenes Disco Duro

Mediante la herramienta FTK Imager, se obtuvo información detallada acerca


del volumen del disco duro, en donde se conoció que sólo tiene una partición,
la cual no tiene nombre y el serial del disco duro es: “B8C7-F9EE”. No se
encontró novedad alguna respecto a ésta validación.

6.3.3.3 Análisis archivos/documentos Disco Duro


Se implementó la herramienta Autopsy para realizar ésta validación, en donde
se, analizaron registros multimedia (fotos, videos y audio), documentos y
archivos. De la verificación realizada, se encontró un archivo llamado
“Playa.png” ubicado en la carpeta “Fotos” de la usuaria “Ann”, cuyos datos
hexadecimales contienen información de tarjetas de crédito, fecha de
expiración y banco al que pertenece:

4501-4402-3394-4978, CVV2, 945, 12/2020, Visa,


4353-1771-2572-6175, CVV2, 679, 02/2018, Visa, Credit Union Card Services
4556-1953-8896-5327, CVV2, 310, 04/2017, Visa, Credit, Bank of America N.T. & S.A.
4532-5862-4925-2708, CVV2, 366, 11/2019, Visa, Kaohsiung Business
Bank 4716-5557-4071-7020, CVV2, 987, 01/2017, Visa Credit, U.S. Bank
N.A. Nd
4324-7386-7513-4114, CVV2, 957, 10/2018, Visa,
4556-5270-6025-5686, CVV2, 625, 06/2017, Visa,
4929-2834-3963-0171, CVV2, 848, 11/2019, Visa Credit, Barclays Bank
Plc 4532-1660-7026-0201, CVV2, 046, 04/2020, Visa,
4532-6574-8439-1905, CVV2, 501, 04/2017, Visa Debit, The Kearny County Bank
4532-8582-8041-9961, CVV2, 066, 10/2019, Visa, Wells Fargo Bank
4929-3771-0219-1725, CVV2, 086, 12/2020, Visa Credit, Barclays Bank
Plc 4916-8225-3084-0836, CVV2, 428, 08/2017, Visa,
4929-0712-1804-7877, CVV2, 199, 11/2017, Visa Credit, Barclays Bank Plc
4716-8492-9122-4373, CVV2, 532, 10/2018, Visa Credit, U.S. Bank N.A. Nd

De igual manera, se encontraron, archivos con formato .pdf, que no son


relevantes con ésta investigación, pero que de igual manera afectan temas de
derechos de autor y se hallaron 3 archivos comprimidos que dan indicio de una
conducta ilícita:
- ListadoNumeraciones.zip: registrado bajo la usuaria Ann, contiene al
parecer datos de tarjetas de crédito. No se pudo validar más a fondo debido
a que es un archivo cifrado, de la cual no fue posible obtener la clave.
- TheJerm.rar: archivo comprimido de la usuaria Ann, el cual tiene
internamente un ejecutable con el mismo nombre del archivo, el cual es un
software especializado para obtener datos de manera fraudulenta de
tarjetas de crédito/débito.
- Pedo.rar: no tiene registrado usuario alguno y no fue posible validar más a
fondo debido a que es un archivo cifrado, de la cual no fue posible obtener
la contraseña.

6.3.3.4 Análisis de Usuarios registrados en Disco Duro


Se usó un software llamado WRR (Windows Registry Recovery), mediante el
cual se detectaron sólo 2 usuarios reales con última fecha de sesión:
- Usuario: Ann
Fecha y hora del último “logon” del usuario: 21/10/2015 - 13:54:18
- Usuario: Tom
Fecha y hora del último “logon” del usuario: 21/10/2015 - 9:03:02

Lo que demuestra que la usuaria que estaba conectada en el momento de la


captura del equipo, fue la usuaria Ann.
6.3.3.5 Análisis de Sistema Operativo en Disco Duro
Se uso la herramienta Autopsy, para revalidar la información obtenida en la
memoria de la RAM y descubrir si existía otro sistema operativo instalado en la
máquina. Con Autopsy, se validó que el sistema Operativo es Windows 7
Professional y registrado a nombre de usuario Ann.

6.3.3.6 Análisis de Contenido Web Disco Duro


Igual que en los puntos anteriores, se implementó Autopsy, para validar el
contenido web. Se detectaron:
- 12 registros de correos electrónicos que están al parecer encargados de
recolectar a través de páginas web fraudulentas, la información de las
tarjetas de crédito de las víctimas a través de formularios web que
redireccionan el contenido a dichos correos.

Ilustración 35: Registros Email

- 84 búsquedas web, de las cuales la que más llama la atención son las
relacionadas con temas del software “Msr 206”, el cual se implementa para
capturar ilícitamente la información de tarjetas de crédito/débito.
Ilustración 36: Búsquedas web

- 3 descargas web relacionadas con el software TheJerm (robar información


tarjetas), compresor Winrar (para descomprimir el ejecutable de TheJerm) y
el archivo que al parecer contiene los datos de las tarjetas de usuarios
“ListadoNumeraciones.zip”.

Ilustración 37: Archivos descargados

- Dentro del historial web en general, se visualizan páginas web consultadas


con información referente a búsqueda y adquisición de herramientas que
permitan la obtención de los datos de las tarjetas de crédito (Software
TheJerm ó MSR 206), lector de tarjeta de crédito a través de eBay y
adquisición de los números de tarjetas de las víctimas (lo anterior para la
usuaria Ann) y con el usuario Tom, se observan consulta de temas
relacionados con evasión de impuestos y traslado de dinero a cuentas de
Suiza y paraísos fiscales.
Ilustración 38: Historial Web

6.3.3.7 Análisis de datos Eliminados Disco Duro

En el análisis que se realizó con Autopsy, no se detectaron archivos que dieran


algún indicio de delito cometido en ésta sección.

6.3.3.8 Análisis de Otros Archivos/Aplicativos Disco Duro

En el análisis realizado para ésta sección, se detectaron 3 conversaciones con


la mensajería Skype, de los cuales son 2 conversaciones con un usuario
rickyrodriguezgarcia, dónde se dialoga acerca de recibir unas fotografías y un
olvido de clave para poder abrir el archivo y 1 conversación con un usuario
llamado aram768 al cual se le notifica el recibimiento de unas fotos y el reenvío
a éste de las mismas, sin embargo, no es posible determinar el contenido de
las fotos, aunque posteriormente se validó la carpeta de descarga de Skype y
no se encontraron fotografías comprometedoras con algún delito.

Se realizó una validación de los programas instalados, de los cuales llama la


atención el WinHex y TrueCrypt, los cuales son usados para ocultar y encriptar
archivos y cuyo proceso se encuentra activo en la captura de procesos de la
RAM.
6.4 Conclusiones

Con base en las evidencias anteriormente descritas, se puede determinar que


existen evidencias disponibles como archivos de Office: Pendientes.ods (USB),
conversaciones por mensajería Whatsapp: Whatsapp_castellano.db (USB),
archivos comprimidos: TheJerm.rar (Disco Duro) y ListadoNumeraciones.zip
(Disco Duro), archivo en formato txt con clave de correos usados: Pwd2.txt.txt y
archivo de imagen con datos en el metadato: Playa.png, que contienen
información muy importante para el caso, adicional, a que se encuentra en el
equipo incautado la instalación de los programas WinHex y TrueCrypt, los
cuales son usados para la encriptada y ocultamiento de archivos.
7. ANEXOS

ANEXO A. Pendientes.ods

Ilustración 39: Archivo Pendientes.ods

Nombre del fichero Pendientes.ods


Ruta o localización en el
vol_vol4/Pendientes.ods
soporte original
Modificación: 2015-09-07 05:10:42
Fecha y hora de
COT
creación/modificación/últi
Acceso: 2015-09-07 05:20:36 COT
mo acceso
Creado: 2015-09-07 05:20:36 COT
Cambiado: 2015-09-07 05:20:36 COT
Tamaño del fichero (bytes) 15766
Valor hash del fichero 6da97888ff474194bedc0cf99b5f67de
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
No Determinado
cual pertenece el fichero
Fuente Dispositivo USB
ANEXO B. whatsapp_castellano.db

Ilustración 40: Archivo whatsapp_castellano.db

Nombre del fichero whatsapp_castellano.db


Ruta o localización en el
vol_vol4/Old_compis/whatsapp_castellano.db
soporte original
Modificación: 2013-07-02 00:47:12 COT
Fecha y hora de
Acceso: 2015-09-07 05:24:25 COT
creación/modificación/últi
Creado: 2015-09-07 05:24:25 COT
mo acceso
Cambiado: 2015-09-07 05:24:43 COT
Tamaño del fichero (bytes) 26624
Valor hash del fichero 17c1db82b4827c126ccbcdc42de4d711
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
No Determinado
cual pertenece el fichero
Fuente Dispositivo USB
ANEXO C. ListadoNumeraciones.zip

Ilustración 41: ListadoNumeraciones.zip

Nombre del fichero ListadoNumeraciones.zip


Ruta o localización en el
Ann_HD/Users/Ann/Downloads/ListadoNumeraciones.zip
soporte original
Modificado: 2015-09-07 12:36:29 COT
Fecha y hora de
Acceso: 2015-09-07 12:36:23 COT
creación/modificación/últi
Creado: 2015-09-07 12:36:23 COT
mo acceso
Cambiado: 2015-09-07 12:36:29 COT
Tamaño del fichero (bytes) 62151
Valor hash del fichero Not calculated
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
Ann
cual pertenece el fichero
Fuente Disco Duro
ANEXO D. TheJerm.rar

Ilustración 42: Archivo TheJerm.rar

Nombre del fichero TheJerm.rar


Ruta o localización en el
Ann_HD/Users/Ann/Downloads/TheJerm.rar
soporte original

Modificado: 2015-09-07 05:35:23 COT


Fecha y hora de
Acceso: 2015-09-07 05:35:17 COT
creación/modificación/últi
Creado: 2015-09-07 05:35:17 COT
mo acceso
Cambiado: 2015-09-07 05:35:25 COT

Tamaño del fichero (bytes) 812659


Valor hash del fichero Not calculated
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
Ann
cual pertenece el fichero
Fuente Disco Duro
ANEXO E. Pedo.rar

Ilustración 43: Archivo Pedo.rar

Nombre del fichero Pedo.rar


Ruta o localización en el
Ann_HD/Program Files/Windows Photo Viewer/es-
soporte original
ES/Pedo.rar
Modificado: 2015-09-04 08:08:06 COT
Fecha y hora de
Acceso: 2015-09-04 08:23:42 COT
creación/modificación/últi
Creado: 2015-09-04 08:23:42 COT
mo acceso
Cambiado: 2015-09-04 08:23:54 COT
Tamaño del fichero (bytes) 214424852
Valor hash del fichero Not calculated
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
No Determinado
cual pertenece el fichero
Fuente Disco Duro
ANEXO F. Playa.png

Ilustración 44: Archivo Playa.png

Nombre del fichero Playa.png


Ruta o localización en el
/img_Ann_HD.E01/Users/Ann/Pictures/Fotos/Otras fotos/Playa.png
soporte original
Modificado: 2015-09-03 13:50:34 COT
Fecha y hora de
Acceso: 2015-09-04 05:12:50 COT
creación/modificación/últi
Creado: 2015-09-04 05:12:50 COT
mo acceso
Cambiado: 2015-09-04 05:12:50 COT
Tamaño del fichero (bytes) 1059
Valor hash del fichero null
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
Ann
cual pertenece el fichero
Fuente Disco Duro
ANEXO G. Pwd2.txt.txt

Ilustración 45: Archivo Pwd2.txt.txt

Nombre del fichero Pwd2.txt.txt


Ruta o localización en el
/img_Ann_HD.E01/Users/Ann/Documents/pwd2.txt.txt
soporte original
Modificado: 2015-09-07 11:18:45 COT
Fecha y hora de
Acceso: 2015-09-03 11:08:26 COT
creación/modificación/últi
Creado: 2015-09-03 11:08:26 COT
mo acceso
Cambiado: 2015-09-07 11:18:45 COT
Tamaño del fichero (bytes) 72
Valor hash del fichero null
Determinar si el fichero ha sido o
No eliminado
no eliminado
Determinar el usuario al
Ann
cual pertenece el fichero
Fuente Disco Duro
8. CONCLUSIONES

En ésta última sección, se comentarán aquellas conclusiones finales del trabajo y


las dificultades que se presentaron.

Cómo se pudo observar en el trabajo anteriormente presentado, en los análisis


realizados en los diferentes módulos: RAM, USB y Disco Duro, se cuenta con
pruebas muy importantes, tales como los archivos que relacionan datos de tarjetas
de crédito/débito (Pendientes.ods), el archivo que muestra el usuario y contraseña
de los correos usados para cruce de correspondencia virtual (Pwd2.txt.txt), la
conversación que trata acerca de los hechos delictivos que se realizarán o se han
ejecutado (whatsapp_castellano.db) y la fotografía que dentro de sus metadatos
contiene información de tarjetas débito/crédito (Playa.png), adicional al manual de
usuario referentes a TrueCrypt y los procesos encontrados en ejecución de
WinHex y TrueCrypt, procesos permiten conocer de que tienen información cifrada
y oculta para que no pueda ser conocida por terceros, lo anterior considero, son
pruebas bastante contundentes como para cumplir con los objetivos de la
investigación y poder incriminar a los sospechosos del delito que se les imputa.

Sumado a lo anteriormente dicho, y aunque no es relevante para éste caso, es la


detección de más de 100 archivos en formato .pdf de archivos de literatura
universal, los cuales están protegidos por derechos de autor, lo que conlleva a
señalar de que adicional al delito inicialmente validado, también se están
vulnerando las leyes de derechos de autor.

Se presentó inconvenientes con la extracción de la información de dos archivos


comprimidos, debido a que presentan contraseña para extraer la información o
para abrir. Se intentó encontrar la clave para poder abrirlos, usando un software
externo que realizaba un ataque de diccionario y de fuerza bruta al archivo, con el
objetivo de extraer la contraseña, pero no fue posible obtener un resultado exitoso.
9. GLOSARIO

A
Aplicativo: programa de computadora que está desarrollado para ejecutar
tareas o procedimientos específicos.

Archivo: datos estructurados que pueden ser tratados y usados en


determinadas aplicaciones.

Autopsy: software libre que permite el análisis de evidencias digitales para


elaboraciones de análisis forense.

B
Byte: es la unidad común de almacenamiento en computación.

C
Clúster: es la cantidad de sectores de un disco, que agrupados se trata como
unidad.

Comando: es la instrucción que se le otorga al computador con base en


alguna sentencia de lenguaje de programación.

D
Datos: es cualquier tipo de información o fichero, que en éste caso, se maneja
de manera electrónica.

Disco Duro: pieza de almacenamiento de datos que se encuentra vinculada


internamente a un computador y conectado a su CPU.

E
Evidencia: es la prueba que se obtiene tras el análisis informático, la cual
demuestra la veracidad de un hecho o su existencia.
F
Forense: es lo relacionado con los tribunales de justicia.

FTK Imager: es una herramienta gratuita de análisis forense, que permite


realizar análisis a imágenes de unidades de disco.

I
Imagen Forense: es una copia exacta a un dispositivo o unidad de disco, que
se realiza con software especializado, con el objetivo de poder analizarlo en un
laboratorio, sin afectar los datos originales.

Informática Forense: es la aplicación de técnicas científicas y analíticas


especializadas en sistemas informáticos para identificar y entregar datos que
sean válidos en procesos jurídicos.

Informe Pericial: es un documento con una estructura adecuada para la


comprensión e interpretación por parte de personas que no son especialistas
en la materia.

M
MD5: Algoritmo de criptografía, usado para comprobar la autenticidad de la
imagen forense.

Multimedia: es un grupo de archivos cuyo contenido es de audio, imagen o


video.

P
Protocolo: conjunto de reglas que permiten a dos o más dispositivos
establecer comunicación entre sí.

R
RAM (Random Access Memory): es la memoria de trabajo de los
computadores, que permite la ejecución de los aplicativos, Sistema Operativo y
CPU.
S

SHA1: Algoritmo de criptografía, usado para comprobar la autenticidad de la


imagen forense.

Sistema Operativo: conjunto de instrucciones realizadas de forma ordenada


que controlan los procesos del computador y permiten la ejecución de las
aplicaciones.

T
TIC: refiérase la abreviatura de las Tecnologías de Información y la
Comunicación.

U
USB (Universal Serial Bus): es un estándar industrial que define las
características que deben tener los conectores para proveer alimentación
eléctrica y transferencia entre computadoras o dispositivos.

Usuario: es la persona o actor que utiliza la computadora, sistema operativo o


aplicativo.

V
VirtualBox: es un software especializado de la empresa ORACLE para la
virtualización de computadoras.

VMWare: es un software especializado de la empresa VMWare Inc., para la


virtualización de computadoras.

Volatility: Software gratuito que se implementa en el análisis forense para


estudiar la memoria RAM.

Volúmen: es el área de almacenamiento del disco duro.


W
Windows: es el nombre de una distribución de software para computadoras,
desarrollada por Microsoft Corporation.

WRR (Windows Registry Recovery): software libre que permite el análisis de


los registros del sistema.
10. BIBLIOGRAFÍA, WEBGRAFÍA Y REFERENCIAS

1. INCIBE RFC 3227 - Directrices para la recopilación de evidencias y su


almacenamiento.
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_come
ntarios/rfc3227

2. VMware Player. http://www.vmware.com/co/products/player

3. Autopsy. http://sourceforge.net/projects/autopsy/?source=typ_redirect

4. FTK Imager. http://accessdata.com/product-download/digital-forensics/ftk-


imager-version-3.2.0

5. Volatility. http://www.volatilityfoundation.org/#!
24/c12wa
https://github.com/volatilityfoundation/volatility

6. Un Forense Llevado a Juicio. Juan Luis García Rambla.


http://www.sidertia.com/.../Un%20forense%20llevado%20a%20juicio.pdf

7. Informática Forense. Giovanny Zuccardi, Juan David Gutierrez.


http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Infor
matica%20Forense%20v0.6.pdf

8. Informática Forense Colombia – IFC.


http://www.informaticaforense.com.co/index.php/joomla-overview

9. Colobran Huguet, Miguel; Conceptos Básicos. Barcelona, Editorial UOC.

10.Forensics PowerTools (Listado de herramientas forenses).


http://conexioninversa.blogspot.com.co/2013/09/forensics-powertools-
listado-de.html

11. Comandos Volatility.


https://code.google.com/p/volatility/wiki/CommandReference

12. Análisis Forense Autopsy. http://www.welivesecurity.com/la-


es/2013/09/23/como-realizar-analisis-forense-autopsy/

13. WRR (Windows Registry Recovery). http://www.mitec.cz/wrr.html

14. García Pañeda, Xabiel; Melendi Palacio, David. La peritación informática.


Un enfoque práctico. Colegio Oficial de Ingenieros en Informática del
Principado de Asturias. ISBN: 978-84-612-4594-9
15. Freedman, Alan. Diccionario de Computación Bilingüe. Mc Graw
Hill. ISBN: 958-600-582-8