TRABAJO PRÁCTICO N°: 1

TEMA: IMAGEN FORENSE Y RECUPERACIÓN DE ARCHIVOS BORRADOS

NARRATIVA DEL CASO:

Suponga que Ud. ha sido designado PERITO en el Expediente N° 135/21 de la causa “Lopez
c/Perez por Reconocimiento de Deuda” que se tramita en el Juzgado Comercial N° 1 y el juez le
solicita los siguientes puntos de pericia:

“A partir del dispositivo secuestrado en la causa, identificado como PENDRIVE, verifique la

existencia de archivos borrados, y de ser posible, recupere toda la información allí contenida.”

DESCRIPCIÓN DE LAS ACTIVIDADES:

Para responder a lo solicitado Ud. deberá realizar las siguientes actividades:

Actividad N° 1: Preparar el dispositivo para el caso ejemplo

Actividad N° 2: Realizar una imagen forense del PENDRIVE utilizando la herramienta FTK
IMAGER

Actividad N° 3: Realizar una búsqueda de archivos borrados mediante la herramienta DISK

DIGGER

Actividad N° 4: Realizar el Informe de Pericia correspondiente

Tenga presente que Ud. deberá documentar los pasos de cada actividad, mediante una imagen
o impreso de la pantalla de su computadora, con los datos que en cada caso se solicitan.

LEA ATENTAMENTE TODAS LAS INSTRUCCIONES ANTES DE COMENZAR EL TRABAJO PRACTICO.

INSTRUCCIONES

Actividad N° 1: Preparar el dispositivo para el caso ejemplo

Deberá disponer de un dispositivo PENDRIVE de cualquier tamaño, que tomaremos como

ejemplo del “dispositivo secuestrado”. Asegúrese que en dicho dispositivo Ud. cuenta
originalmente con al menos 2(dos) archivos cualesquiera que conforman el grupo de archivos
que supuestamente fueron borrados del dispositivo.

A los fines de documentar el trabajo práctico, obtenga una imagen de pantalla (FOTO_1) con la
información inicial del dispositivo, en el que se observe el listado de archivos existentes con los
datos de identificación (nombre, extensión, fecha, etc.).

Actividad N° 2: Realizar una imagen forense del PENDRIVE utilizando la herramienta FTK
IMAGER

Deberá disponer de un almacenamiento en el cual creará la imagen del dispositivo con igual o
mayor capacidad que el dispositivo que toma de ejemplo. Puede ser otro dispositivo externo o
considerar un directorio que habilitará en el propio disco de la computadora en la que desarrolle
el ejercicio (tenga presente la capacidad de almacenamiento del dispositivo que toma como
ejemplo).

Puede bajar la herramienta FTK IMAGER registrándose en la siguiente página:

https://accessdata.com/product-download/ftk-imager-version-4-7-1

Mire este video para aprender cómo utilizar la herramienta FTK IMAGER (tenga presente que el
autor trabaja con una versión ANTERIOR a la que Ud. acaba de bajar):

https://www.youtube.com/watch?v=aGTFUiflUCY

Siga los pasos indicados en el video para:

• Bajar e Instalar la herramienta FTK: recuerde que puede haber cambios respecto de la
versión 4.3.1.1 que muestra el video y la versión 4.7.1 que Ud. tiene.
• Borrar los archivos del PENDRIVE
• Formatear el dispositivo PENDRIVE
• Realizar la imagen forense

Como resultado de la actividad N° 2, debería haber obtenido 3 archivos:

1. Un archivo con extensión .RAR que contiene la copia imagen comprimida de PENDRIVE De
este archivo resguarde una imagen de pantalla (FOTO_2)
2. Un archivo con extensión .XLS que contiene datos sobre las particiones de la copia imagen.
De este archivo resguarde una imagen de pantalla (FOTO_3)
3. Un archivo con extensión .TXT que contiene información sobre el proceso realizado. De este
archivo resguarde una imagen de pantalla (FOTO_4)

Actividad N° 3: Realizar una búsqueda de archivos borrados mediante la herramienta

Para realizar esta actividad sigue las instrucciones del siguiente video:
https://www.youtube.com/watch?v=oLwyV-8WjuI

Puede bajar la herramienta DISK DIGGER desde este link:

https://diskdigger.org/

Tenga presente recuperar los archivos EN UN DIRECTORIO DIFERENTE al original.

Como resultado de la Actividad N° 3 debería haber obtenido un listado de todos los archivos
recuperados y que previamente en la Actividad N° 1 fueron borrados del dispositivo analizado.
Obtenga una imagen de pantalla (FOTO_5).

Actividad N° 4: Realizar el Informe de Pericia correspondiente

Elabore el informe solicitado, teniendo presente la siguiente estructura:

Encabezado: indicando Lugar y Fecha, Autoridad Judicial a quien va dirigido el informe,
Identificación de la Causa, con los datos suficientes para que de su simple lectura se pueda
observar el expediente en el cual deba adosarse.

Presentación: Identificación del Perito, carácter de su designación. Tipo de presentación que se

está realizando por ese medio.

Informe de Pericia:

• Objeto de la pericia: con mención textual de los puntos de pericia

• Pruebas entregadas para su análisis: indique las características de identificación de la
prueba.
• Desarrollo de la pericia:
o Descripción de la escena o contexto del análisis pericial, incluyendo la presencia de
terceras personas (usuario, escribano, oficial de justicia, etc.).
o Si corresponde, lugar de la recolección de la evidencia y del análisis pericial.
o Metodologías y herramientas solicitadas.
o Enunciación secuencial de los pasos realizados, con el grado de detalle suficiente.
• Conclusiones: expresadas en términos de los puntos periciales, tratando de responder una
a una las preguntas formuladas en dichos puntos.
• Anexos: conteniendo documentación en soporte digital que describa aquellas aclaraciones
y temáticas técnicas dirigida al profesional técnico-informático.

Guarde este documento bajo el nombre INFORME DE PERICIA en formato PDF.

RESULTADOS A ENTREGAR:

Al finalizar el trabajo práctico Ud. deberá subir al aula virtual los siguientes archivos:

1. Informe de Pericia.PDF
2. Imágenes de las actividades realizadas: FOTO_1, FOTO_2, FOTO_3, FOTO_4 y FOTO_5 todas
en un único archivo de formato pdf.