UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA SEDE

QUETZALTENANGO.

FACULTAD:
CRIMINOLOGIA Y POLITICA CRIMINAL.

DOCENTE:
WILLIAM ARANGO.

CURSO:
INFORMATICA Y MANEJO DE LA EVIDENCIA DIGITAL.
ESTUDIENTES:
FLORINDA DEL ROSARIO PONCIO AJPACAJÁ. CARNET: 3754-19-1608
ARBELIO EUGENIO PÉREZ LÓPEZ. CARNET: 3754-20-9576

FECHA:
OCTUBRE DE 2022
 INTRODUCCIÓN.
Lo que a continuación se presenta son todos los pasos que se utilizan para poder
utilizar correctamente los programas de FTKimager y Autopsy, ya que a través de
estos dos programas es que se van a analizar evidencias digitales obtenidas de una
copia de una memoria extraíble USB y de un archivo que en Windows aparece sin
información. Estos programas no solo nos permiten ver archivos en las evidencias a
evaluar, sino también nos permite ver la información de archivos borrados dentro
de la evidencia, así como fecha y hora exacta, latitud y longitud en que se creó el
archivo, la fotografía o el audio, tipo de sistema de archivos, cantidad de particiones
o volúmenes encontrados, tamaño de cada volumen o partición.
PRÁCTICA 2
PASO 1.
Tener instalado el programa Autopsy para poder analizar las siguientes evidencias.

PASO 2.
Abrir el programa de Autopsy, nos desplegará la ventana y le damos clic en New case.
PASO 3.
Una vez dado clic en new case nos aparecerá la ventana en donde seleccionamos la
evidencia que vamos a examinar.
PASO 4.
Se desplegara la ventana en donde colocamos el número de caso, nombre, teléfono,
correo y luego le damos clic en donde dice finish.
PASO 5.
Una vez presionado la opción de finish empieza a cargar el programa.
Cuando ya este cargado nos aparecerá otra ventana, lo único que debemos de hacer
es darle clic en la opción de next.
PASO 6.
Seleccionamos la opción de browse y seleccionamos la evidencia a evaluar.
PASO 8.
Una vez cargado la evidencia a evaluar y/o analizar presionamos en la opción de
next.
PASO 9.
Nos aparece esta otra ventana y lo que presionamos es la opción en donde dice next.
PASO 10.
Una vez presionado la opción antes mencionada ya nos aparece toda la información
de la evidencia.
ANÁLISIS DE EVIDENCIA E01, PROGRAMA ACCESSA DATA FTK IMAGER
Imagen 1
Encontramos dos pariciones: La primera es de 10 MB equivalente 10240 KB (que
indica el tamaño de un archivo o la capacidad de una memoria de datos). Se
observan dos carpetas
VOL01FTA: El formato FAT es utilizado para gestionar un volumen de datos
pequeños. Soporte de datos portátiles extraíbles (discos duros externos). Tiene un
mayor rango de compatibilidad, especialmente en dispositivos móviles.
Corresponde; Windows, Mac Os, Linux.
Root: En dispositivos con sistema operativo Android es el proceso que permite a
los usuarios de teléfono inteligentes, tabletas y otros aparatos con el sistema
operativo móvil Android obtener control privilegiado, con el cual se pueden modificar
ciertas funciones que vienen por defecto en los terminales Android.
El rooting se lleva a cabo generalmente con el objetivo de superar las limitaciones
que los operadores de telefonía móvil y los fabricantes de hardware colocan en
algunos dispositivos, teniendo como resultado la capacidad de hacer cosas que un
usuario sin root no puede hacer como, por ejemplo, desinstalar las aplicaciones por
defecto/de fábrica y remplazarlas por otras.

Espacio sin asignar

Segunda fragmentación de 67 MB, contiene las carpetas siguientes: orphan, root y
un espacio sin asignar. Las fechas de modificación, diecisiete de febrero del año
dos mil dieciocho, a las 6 de la tarde con doce minutos y 24 segundos.

En la carpeta Root encontramos las siguientes carpetas, Extend (Extender), Deleted

(eliminada), Rm metadata (Metadatos), Txf, Txflog, RECYCLE.BIN (Reciclaje), 1-5-
21, System Volume Information (Información del volumen)
ANÁLISIS DE EVIDENCIA E01 PROGRAMA AUTOPSY.

Documentos por extensión; Dos imágenes, cero audios, cero archivos, cero
videos, cero bases de datos.
Documentos; cero HTML. Cero PDF, Ceros office, cero textos sin formato,
No se encuentra documento PDF, EXEL, videos ó audios.
Archivos ejecutados: .exe, .dll, .bat, .cmd, .com, No se observa ningún archivo
ejecutado de esta naturaleza.
Por tipo de MIME: (Correos electronicos) El archivo MIME permite que las
aplicaciones y los usuarios intercambien correos electrónicos con contenido
enriquecido.
Flujo de octetos; flujos de octetos son un tipo de archivo MIME enviada por un
servidor web a un navegador para indicar que el archivo que el navegador está

intentando acceder es una aplicación.

octet-stream: es un tipo de archivo genérico sin especificación sobre cómo abrirlo.

Rango de tamaño:
LA MISMA PRÁCTICA EN EL PROGRAMA DE AUTOPSY, CON LA IMAGEN DE
LA MEMORIA USB QUE CREAMOS EN LA PRÁCTICA UNO
Podemos examinar toda la imagen creada del USB ya que contiene archivos que han
estado anteriormente y han sido borrados completamente, a través de este programa
podemos examinarlo.
se puede observar que en esta carpeta están almacenadas 363 archivos en formato
PDF como lo vemos a continuación.
observas como siguen conservados los archivos que existen en cada carpeta.
 Conclusión

Al evaluar una evidencia digital de imagen USB o PC, vamos a encontrar una serie
de carpetas y archivos dependiendo de las necesidades del usuario, los archivos
van a tener distintos formatos, dependiendo de su conformación, estructura o
función. Cada vez que se utiliza el pc esta genera varías modificaciones debido que
utiliza archivos de todo tipo, para subir textos, para escuchar música, para ver
fotografías o tomar fotografías, instalar un nuevo programa e incluso para guardar
un registro de los archivos que se eliminan.
Resaltamos la importancia de las aplicaciones, FTK imager y Autopsy que nos
permiten analizar el historial de una imagen USB o PC, en una sola ventanilla,
podemos conocer cuestiones esenciales de una Pc, en lo que podemos resaltar
versión de Windows, partición de su disco duro, rango de tamaño.
La importancia en estos programas no solo radica en que nos permiten acceder al
historial de lo ya mencionado, si no también que por el procedimiento controlado
que se aplica en los indicios o materiales relacionados con el delito en la extracción
o recolección de pruebas, la cual esto nos permite garantizar un análisis confiable
sobre la información que tiene la imagen.