FORMATO DE INFORME PERICIAL

Las y los peritos presentarn su informe de conformidad con lo

establecido en los artculos 19 y 20 del REGLAMENTO DEL SISTEMA
PERICIAL INTEGRAL DE LA FUNCION JUDICIAL. Por lo tanto, el
presente formato es de uso obligatorio para la presentacin
de los informes periciales, sin perjuicio de lo establecido en
normas legales especficas.
INFORME PERICIAL
1. DATOS GENERALES
INDAGACIN PREVIA

DEL

Nombre Judicatura o Fiscala

No. de Proceso
Nombre y Apellido de la o el
Perito
Profesin
y
Especialidad
acreditada
No. de Calificacin
Fecha de caducidad de la
acreditacin
Direccin de Contacto
Telfono fijo de contacto
Telfono celular de contacto
Correo
electrnico
de
contacto

JUICIO,

PROCESO

DE

Consejo de la Judicatura del Azuay

001
Pedro Alexander Tenezaca Sari
Ingeniero de Sistemas
N/A
N /A
Va al Valle
N/A
0995383267
pedro.tenezaca@ucuenca.ec

2. PARTE DE ANTECEDENTES
Se solicita al perito investigar y determinar si es posible obtener
la memoria RAM de un computador HP. Si es posible indique la
informacin que se puede obtener.
3. PARTE DE CONSIDERACIONES TCNICAS O METODOLOGA
A APLICARSE
Yo Pedro Alexander Tenezaca Sari cuento con 5 aos de
experiencia en el mbito de la informtica, durante este tiempo
he obtenido experiencia y conocimiento referentes al anlisis
forense de dispositivos electrnicos, obtencin de metadatos de
archivos y recuperacin de documentos. Por lo tanto, estoy
calificado para realizar la pericia que se me ha sido asignado.

4. PARTE DE CONCLUSIONES
A travs del uso de software especializado si es posible obtener
los datos de la RAM de un computador HP. Entre la informacin
que se puede obtener se encuentran: imgenes, URLs
visitadas, datos de geolocalizacin y documentos.
5. PARTE DE INCLUSIN DE DOCUMENTOS DE RESPALDO,
ANEXOS, O EXPLICACIN DE CRITERIO TCNICO
Para llevar a cabo el proceso de obtencin de la memoria RAM
de un computador HP se ha elegido el modelo TouchSmart tm2,
con nombre de usuario Pedro.
Se ha procedido de la siguiente manera.
1. Para obtener los datos almacenados en la RAM de
computador se ha utilizado la herramienta Belkasoft Live
RAM Capturer, programa que guarda en un archivo con
extensin .mem (ver figura 1) los datos capturados de
la RAM del computador HP. La cantidad de informacin
que se obtiene depende de la memoria RAM del
computador, en este caso se ha analizado 6GB de RAM.

Figura 1. Archivo 20161210.mem

Fecha: 13/12/2016
Hora: 16:40
2. El anlisis del archivo volcado (.mem) se realiz con el
software Belkasoft Evidence Center. Solo es necesario
abrir el archivo, este procedimiento tarda varias horas, y
depende tamao de la RAM del computador.
El programa para investigacin obtuvo informacin de la
RAM relacionada a:
Documentos (2)
Datos de Geolocalizacin (4)
Imgenes (2925)
Buscadores (14844)
La figura 2 muestra en la parte derecha muestra en forma
general la informacin obtenida, junto con su la cantidad

de archivos relacionados. Enmarcado en rojo, en la parte

central se observa los documentos encontrados en el
archivo volcado de la RAM.

Document
os

Figura 2. Documentos almacenados en la RAM

Fecha: 13/12/2016
Hora: 16:45
Se presenta en las figuras 3 y 4 la informacin en detalle de los
documentos.

Figura 3. Informacin del documento .pdf almacenado en la

RAM
Fecha: 13/12/2016
Hora: 16:51

Figura 4. Informacin del documento .docx almacenado en la

RAM
Fecha: 13/12/2016
Hora: 16:51
Los datos de Geolocalizacin como latitud y longitud (en total
5), se encontraron en el archivo 20161210.mem, enmarcado en
rojo en la siguiente figura.

Figura 5. Datos de Geolocalizacin de archivos almacenados

en la RAM
Fecha: 13/12/2016
Hora: 17:02
Entre los datos obtenidos de la RAM se encuentran imgenes,
en total 2925, la figura 6 muestra 4 imgenes encontradas.

Figura 6. Varias imgenes contenidas en el archivo de volcado

Fecha: 13/12/2016
Hora: 17:05
Al abrir la imagen picture_0000000237428.png se visualiza los
detalles de la misma (ver figura 7), en la mayora de los casos
las imgenes no se encuentran completas y solo se puede
apreciar un porcentaje de la imagen.

Figura 7. Detalle de la imagen picture_0000000237428.png

Fecha: 13/12/2016
Hora: 17:09
Para el computador HP no se hallaron Mailboxes, sin embargo,
se encontr datos de los exploradores web: hora y fecha de
visita a una pgina, URL de la pgina, nombre de la pgina,
entre otras (Ver figura 8, enmarcado en rojo).

Figura 8. Informacin relacionada con URLs o enlaces

visitados
Fecha: 13/12/2016
Hora: 17:18
El anlisis revel datos de SQLite Databases, en total 69, que
muestran en la figura 9.

Figura 9. Informacin relacionada con archivos de SQLite

Fecha: 13/12/2016
Hora: 17:20
Otra informacin relacionada con exploradores web, son las
cookies almacenas correspondientes a un sitio web. Por
ejemplo, la siguiente imagen contiene enmarcado en rojo
informacin de una cookie almacenada para microsoft.com.

Figura 10. Informacin hexadecimal adicional en imagen con

contenido oculto
Fecha: 13/12/2016
Hora: 17:30
6. INFORMACIN ADICIONAL

RAM:
La RAM o memoria de acceso aleatorio es una pieza que se
compone de uno o ms chips y que forma parte del sistema de
un ordenador o computadora.
La caracterstica diferencial de este tipo de memoria es que se
trata de una memoria voltil, es decir, que pierde sus datos
cuando deja de recibir energa.
Se denominan de acceso aleatorio porque se puede leer o
escribir en una posicin de memoria con un tiempo de espera
igual para cualquier posicin, no siendo necesario seguir un
orden para acceder (acceso secuencial) a la informacin de la
manera ms rpida posible.
Fuente:
ram.php

http://www.definicionabc.com/tecnologia/memoria-

Belkasoft Live RAM Capturer:

Belkasoft Live RAM Capturer es una herramienta forense que permite
extraer el contenido completo de la memoria voltil de un computador.
Los volcados de memoria capturados con Belkasoft Live RAM Capturer

pueden ser analizados Belkasoft Evidence Center. Belkasoft Live RAM

Capturer es compatible con todas las veriones de Windows (XP, Vista,
Windows 7, 8, 10, 2003 y 2008 Server.)
Belkasoft Live RAM Capturer est diseado para funcionar
correctamente incluso si se est ejecutando un sistema antidumping o
anti-memoria.
Fuente: https://belkasoft.com/ram-capturer

Belkasoft Evidence Center

Belkasoft Evidence Center permite a los investigadores adquirir, buscar,
analizar, almacenar y compartir pruebas digitales que se encuentran
dentro de equipos y dispositivos mviles. El kit de herramientas extraer
rpidamente evidencia digital de mltiples fuentes analizando discos
duros, imgenes de unidad, volcados de memoria, iOS, Blackberry y
respaldos de Android.
Extrae los datos de todos los principales sistemas operativos, tanto
informticos como mviles: Windows, Linux, MacOS X, iOS, Android,
Windows Phone, Blackberry.
Principales Caractersticas:
Examen de dispositivos mviles y de computadoras. Apoyando a
todos los principales sistemas operativos mviles y de escritorio,
Anlisis de SQLite nativo. Recupera las bases de datos SQLite
corrompidas e incompletas, restaura los registros eliminados y borra
los archivos de historial.
Anlisis de RAM en vivo. Evidence Center puede extraer informacin
potencialmente crucial de la memoria voltil, tales como: navegacin
en privado e historiales de exploradores borrados, chats en lnea y
redes sociales, historial de uso de servicios en la nube y mucho ms.
Investigaciones de bajo nivel. Equipado con el Explorador del
Sistema de Archivos, Hex Viewer y Type Converter.
Fuente: https://belkasoft.com/ec
7. DECLARACIN JURAMENTADA,
Yo Pedro Tenezaca Sari con cdula de identidad 0105952360
declaro que todo lo expresado en este documento es verdadero,
independiente y corresponde a mi propia convencin
profesional.

8. FIRMA Y RBRICA

__________________________
Pedro Alexander Tenezaca Sari
0105952360