INFORME PERICIAL

1. DATOS GENERALES DEL JUICIO O PROCESO DE INDAGACIN PREVIA

Nombre Judicatura o Fiscala
No. de Proceso
Nombre y Apellido de la o el
Perito
Profesin
y
Especialidad
acreditada
No. de Calificacin
Fecha
de
caducidad
de
la
acreditacin
Direccin de Contacto
Telfono fijo de contacto
Telfono celular de contacto
Correo electrnico de contacto

001
Jos Luis Molina Len
Estudiante en Ing.
Telecomunicaciones

Electrnica

15 de septiembre del 2016

Presidente Crdova 5 - 69
2822403
0992956559
Jluis.molinal@ucuenca.ec

2. PARTE DE ANTECEDENTES

Para que el Perito Demuestre si es posible obtener los datos de una memoria RAM DDR3 de 4Gb
de un computador HP G42-372LA; si es posible indique la informacin que se puede obtener.
3. PARTE DE CONSIDERACIONES TCNICAS O METODOLOGA A APLICARSE:

Para el desarrollo de este peritaje se hace uso de 3 programas de ayuda: cpu-z que nos permite ver
las especificaciones de la memoria RAM, RamCapture64 (que nos permite obtener una captura de la
memoria RAM y guardarla como un archivo . mem) y Belkasoft Evidence Center Ultimate que nos
permite hacer el anlisis del archivo .mem obtenido por medio del software RamCapture64.
4. PARTE DE CONCLUSIONES:

En este peritaje se pudo demostrar que es posible la obtencin de los datos de una memoria RAM.
En este caso la RAM DDR3 de 4Gb de un computador HP G42-372LA.
El software RamCapture64, para el anlisis de la memoria RAM de un computador, nos permite
obtener datos de: exploradores, chats, servicios en la nube, documentos, documentos encriptados y
volmenes, archivos, datos de geolocalizacin, correos, juegos online multi usuarios, p2p, sistemas
de pago, imgenes, redes sociales, archivos de sistema, miniaturas y videos.
De la captura y anlisis de la memoria RAM DDR3 de 4Gb del computador HP G42-372LA se
obtuvo: URls de archivos y carpetas que se encontraban en RAM, as como URLs de Exploradores
de internet y las pginas que se encontraban abiertas (bsquedas en google, redes sociales, correo
electrnico, etc.), Visualizacin de documentos que se encontraban abiertos en el momento de la
captura, Imgenes que se encontraban en memoria al momento de la captura, Eventos logs del
sistema.

5. PARTE DE INCLUSIN DE DOCUMENTOS DE RESPALDO, ANEXOS, O

EXPLICACIN DE CRITERIO TCNICO:
Para el desarrollo de este peritaje se obtuvieron dos capturas de memoria RAM:
correspondientes a las fechas: 7/12/2016 12:02:27 y 7/12/2016 12:11:05, de las
cuales se ha escogido la segunda la fecha: 7/12/2016 12:11:05, para el anlisis de
los datos.
Para realizar la captura de la memoria RAM se hace uso de bloqueadores contra
escritura para que no se modifiquen los logs; Se conecta el pc a analizar al
bloqueador, y el bloqueador al pc del perito para hacer el anlisis. En este peritaje
debido a que no se cuenta con bloqueadores contra escritura, se utiliza el software
RamCapture64 para realizar la captura de la memoria RAM.
Especificaciones de la memoria RAM: Tipo: DDR3, capacidad: 4 Gb, frecuencia
DRAM: 532.1 MHz.

Figura 1. Obtencin de las especificaciones de la memoria RAM.

Captura de la memoria RAM: Se realiza mediante el software RamCapture64, en este
caso se lo realiz dos veces por lo que obtenemos dos archivos .mem.

Figura 2. Captura de la memoria RAM.

Figura 3. Captura de la memoria RAM. Archivos .mem.

Anlisis de los archivos obtenidos: El anlisis se realiza mediante el software:
Belkasoft Evidence.

Figura 4. Instalacin del software Belkasoft Evidence para el anlisis del archivo .mem.

Figura 5. Creacin de los casos, uno para cada archivo .mem.

Figura 6. Seleccin del archivo a analizar (20161207_1.mem correspondiente a:

7/12/2016 12:11:05).

Figura 7. Seleccin del archivo a analizar.

Figura 8. Valores a analizar

Figura 9. Extraccin de la informacin contenida en la memoria RAM.

Figura 10. Casos: uno para cada archivo .mem.

Al momento de abrir el software Belkasoft Evidence, nos pide ingresar: Nombre del caso, ruta
de la capeta en la que se almacena el caso, carpeta del caso, investigador, zona horaria, y una
descripcin (Figura 5). En la Figura 10 se muestran los dos casos de anlisis. En el peritaje se
describe el anlisis del caso de fecha: 7/12/2016 12:11:05.
CASO 1: 12:02:27 y 7/12/2016 12:11:05.
BROWSER - URLS

Figura 11. URL, navegacin en archivos y carpetas.

Figura 12. URL, navegacin en archivos y carpetas.

Figura 13. URLs, navegacin en exploradores de intenet.

Figura 14. Navegador de internet, URL visitada.

En la Figura 14, se puede observar la URL obtenida en el anlisis y abierta en el
explorar de internet. Con la obtencin de las URLs de las carpetas y archivos se puede
facilitar la bsqueda de datos que puedan servir de evidencia. Y con las URLs de los
exploradores de internet se pueden encontrar pginas que sirvan para incriminar al
posible acusado.

DOCUMENTOS

Figura 15. Informacin de Documentos

Figura 15. Informacin de Documentos

El documento recuperado (Figura 15), se encontraba incompleto por lo que no fue
posible la visualizacin del contenido.

CORREOS ELECTRNICOS

Figura 16. Correos electrnicos recibidos o enviados

En el caso de que existan.
IMGENES

Figura 17. Imgenes que se encontraban en memoria al momento de la captura.

En la Figura 17 se muestran las imgenes que se encontraban abiertas en el

momento de la captura as como las imgenes de pginas web cargadas por los
exploradores de internet.
SYSTEM EVENT LOGS

Figura 18. Eventos logs del sistema.

Figura 19. Eventos logs del sistema.

6. OTROS REQUISITOS
7. INFORMACIN ADICIONAL.

Anlisis Forense de Memoria RAM

La memoria RAM es uno de los componentes principales de un ordenador, es la memoria en la que
se cargan todas las instrucciones que ejecuta el procesador y otras unidades de cmputo. Esta
memoria es voltil, lo que quiere decir que cuando se apaga el ordenador y pierde la fuente de
alimentacin la informacin que contiene se pierde.
Debido a esto, en la fase de recogida de evidencias de un anlisis forense si uno de los equipos est
encendido, uno de los procesos a realizar ser obtener una captura de su memoria RAM para su
posterior estudio.
Fuente: http://wh0s.org/2014/05/01/analisis-forense-de-memoria-ram-i/
Fecha de revisin: 08/12/2016
Cuando se realiza un anlisis forense digital se tiene dos tipos, un anlisis offline o anlisis en vivo
(live) del equipo (Dispositivo) en cuestin, de acuerdo al grado de volatilidad que establece en el
RFC 3227 se establece en la preservacin de la memoria RAM y un anlisis con copias de los datos.
El generar una imagen forense de la memoria RAM permite posteriormente en la fase de anlisis
extraer informacin valiosa del Sistema Operativo, a continuacin, se enumeran algunas de ellas:

Procesos ejecutados
Conexiones establecidas
Malware
Contraseas
Servicios Cargados por el Sistema Operativo
Archivos en Ejecucin

Es importante recordar que mientras las herramientas sean menos intrusivas en el sistema operativo
ser mejor, por eso sera absurdo pensar en instalar alguna aplicacin en el equipo al cual se est
realizando un anlisis forense digital.
Fuente: http://insecuredata.blogspot.com/2015/03/capturando-la-memoria-ram.html
Fecha de revisin: 08/12/2016
8. DECLARACIN JURAMENTADA,
Declaro de manera voluntaria y bajo juramento que el informe que presento para dicha
pericia, es independiente y corresponde a mi real conviccin profesional. Declaro
tambin que toda la informacin aqu presente es verdica y llevada a cabo de manera
rigurosa en los puntos pertinentes.

9. FIRMA Y RBRICA,

Perito judicial: Jos Luis Molina Len.

CI: 010482644 1