INFORMÁTICA FORENSE CASO JOE JACOBS

Presentado por:

PAULA ANDREA GALINDO AVILES

Profesor:

ESP ALEXANDER SABOGAL

UNIVERSIDAD ECCI

Programa Ing de sistemas

Bogotá

2021
 Tabla de Contenido

1. Introducción………………………………………………………………………………. 1 2.

Objetivos de la Investigación 2 2.1 Objetivo

General ................................................................................................................... 2 2.2 Objetivos

Específicos............................................................................................................ 2 3.

Herramientas para la Practica…………………………………………………………….. 3 3.1

Autopsy ................................................................................................................................. 3 3.2

HashTab ................................................................................................................................ 3

[Link] de la Practica………………………………………………………………….. 4 5.

Actividades de Consulta………………………………………………………………… 30 6.

Conclusiones…………………………………………………………………………….. 32 7.

Bibliografía……………………………………………………………………………… 33

Tabla de Figuras

Figura 1 Copiar los hashes para su verificación en Autopsy. ........................................................ 4

Figura 2 inicialización del programa Autopsy............................................................................... 5

Figura 3 registrar información para crear el caso. ......................................................................... 5

Figura 4 Registrar información opcional para la creación del nuevo caso. ................................... 6

Figura 5. Generar un nuevo nombre de host.................................................................................. 7

Figura 6. escoger imagen de disco para el archivo que se va analizar........................................... 7

Figura 7. Escoger la imagen que se va a analizar .......................................................................... 8

Figura 8 Seleccionar la ubicación de la imagen, el Time Zone, y los hashes he información por

defecto..................................................................................................................................... 9

Figura 9 Seleccionar los módulos para analizar la imagen.......................................................... 10

Figura 10 cargando la configuración y obtención de información de la imagen......................... 11

Figura 11. Visualización de información de la imagen. .............................................................. 12

Figura 12 información del archivo Word recuperado.................................................................. 13

Figura 13. información de los metadatos del archivo y el texto del documento. ........................ 14

Figura 14. visualización del campo Hex de Autopsy. ................................................................. 15

Figura 15 Información de los metadatos del archivo................................................................... 16

Figura 16 Imagen obtenida mediante proceso de análisis forense de tallado .............................. 16

Figura 17 posible obtención de información de la imagen en parte hexadecimal. ...................... 17

Figura 18 Información del texto indexado................................................................................... 18

Figura 19 exportación de imagen para su análisis posterior........................................................ 18

Figura 20. Documento Word recuperado..................................................................................... 19

Figura 21. Información de los metadatos del archivo.................................................................. 20

Figura 22. Mensaje de Excel al abrir archivo de horario de visitas para su visualización. ......... 20

Figura 23. Comparación de hashes con el archivo descargado ................................................... 21

Figura 24 información de la meta data del archivo .zip nombrado horario de visitas................. 22

Figura 25 extracción del archivo mediante la digitación de la clave previamente obtenida ...... 22

Figura 26. Visualización del horario de visitas de los colegios por parte del expendedor de

drogas.................................................................................................................................... 23

Figura 27. Visualización del nombre, tamaño, fecha y hashes de la imagen recuperada ............ 24

Figura 28 Visualización de la contraseña oculta en una imagen ................................................. 24

Figura 29 panel de imágenes y videos que fueron obtenidos. ..................................................... 25

Figura 30. Panel de comunicaciones sin resultados obtenidos.................................................... 25

Figura 31 panel de geolocalización sin información obtenida..................................................... 26

Figura 32. Línea de tiempo del caso ............................................................................................ 26

Figura 33. Visualización de la línea de tiempo por detalle.......................................................... 27

Figura 34. Visualización de la línea de tiempo por lista.............................................................. 27

Figura 35 Generar reporte final en Autopsy en formato HTML ................................................. 28

Figura 36. Reporte final del caso Jacobi en Autopsy................................................................... 29

1
1. Introducción

El trabajo de investigación se basa en el análisis forense del caso Jacobi del 2004

mediante la verificación de la veracidad de la imagen mediante la comparación de hashes y la

herramienta para análisis forense Autopsy que es utilizado para análisis forense a dispositivos,

esto con el fin de generar un caso de la imagen para visualizar toda la información de una manera

organizada y poder indagar en las preguntas mediante el estudio de la trazabilidad de los datos de

cada archivo, imágenes, correos, fechas entre otros.

Al final se va a presentar un informe resolviendo las preguntas del caso policial mediante

el análisis de la información recolectada y el proceso para llegar a una conclusión sobre el caso.

2
2. Objetivos de la Investigación

2.1 Objetivo General

Presentar un informe sobre la creación del caso y las pruebas recolectadas con la

herramienta Autopsy de una imagen para su investigación sin comprometer la información

obtenida mediante su verificación.

2.2 Objetivos Específicos

• Analizar los haches que se obtiene de la imagen para verificar que no fue alterada la

información.

• Crear un caso para investigar la información obtenida mediante la herramienta Autopsy

de la imagen descargada.

• Responder las preguntas sobre el caso policial de la información que obtuvimos con
 Autopsy.

• Presentar un informe con los hallazgos y su conclusión.

3
3. Herramientas para la Practica

3.1 Autopsy

Autopsy es un software para análisis forense de dispositivos tecnológicos, esta

herramienta es de código abierto y es capaz de analizar todo tipo de dispositivos móviles y

medios digitales. Su arquitectura de complementos permite la extensibilidad de módulos

desarrollados por la comunidad o personalizados. (Basis Technology, 2021) .

Esta herramienta se usa para crear un caso de investigación, verificar y estudiar la

información obtenida de dispositivos sin comprometerla y posteriormente presentarla ante un

juez.

3.2 HashTab

HashTab calcula y muestra valores hash de más de dos docenas de algoritmos de hash

populares como MD5, SHA1, SHA2, RipeMD, HAVAL y Whirlpool, con el fin de validar la

integridad de los archivos que se descargan (implbits, s.f.)

4
4. Desarrollo de la Practica

Primeramente, descargamos he instalamos las herramientas Autopsy y HashTab de las

páginas oficiales, después visualizamos los hashes de la imagen previamente descargada, dándole

clic derecho en propiedades y en la parte de Hash de archivos copiamos los hashes en un

[Link] para su posterior verificación en Autopsy. Como se observa en la Figura 1. Figura 1

Copiar los hashes para su verificación en Autopsy.

 Fuente: Elaboración propia.
Después iniciamos el programa Autopsy que previamente instalamos. cómo se observa en

la Figura 2.

5
Figura 2 inicialización del programa Autopsy.

Fuente: Elaboración propia

Después nos aparecerá una ventana con 3 ítems, en este caso vamos a escoger el primer

ítem new case para crear nuestro caso, donde nos pide el nombre que es Jacobs, el directorio base

que es una carpeta que debemos crear en algún lugar de nuestro equipo, el tipo de caso el cual va

ser Single-User y debemos darle next. Como se observa en la Figura 3.

Figura 3 registrar información para crear el caso.

 Fuente: Elaboración Propia.
6
Al darle clic al botón next nos mostrara una nueva ventana para registrar información

opcional como el número celular y del caso la cual es el 1 y el celular es 30098674, el

examinador quien va a ser Danilo, email y las notas, en la parte de organización no se especificó

y se da clic en next. Como se observa en la Figura 4.

Figura 4 Registrar información opcional para la creación del nuevo caso.

F
uente: Elaboración propia
En la siguiente ventana se comienza a crear el caso y después nos muestra una nueva

ventana para seleccionar el host para este nuevo caso seleccionamos generar un nuevo nombre de

host basado en la fuente de datos. Como se observa en la Figura 5.

7
Figura 5. Generar un nuevo nombre de host
 Fuente: Elaboración propia.
Después le damos next y nos mostrara que tipo de fuente de datos debemos escoger en

este caso va a ser una imagen de un disco. Como se observa en la Figura 6.

Figura 6. escoger imagen de disco para el archivo que se va analizar.

Fuente: Elaboración propia

8
Al darle siguiente nos mostrara una ventana para poder escoger la dirección donde se

encuentra la imagen que vamos a analizar. Como se observa en la Figura 7

Figura 7. Escoger la imagen que se va a analizar

 Fuente: Elaboración propia
Después de escoger la imagen en la parte de abajo nos mostró si deseamos ignorar la tabla de

asignación de archivos (FAT), en este caso no le dimos check. En el Time Zone ahí por defecto nos

dejó la que tenemos en el equipo local, en tamaño de sector lo dejamos que lo auto detectara y en la

parte de hash values pusimos los hashes que copiamos en el [Link] de la figura 1. Como se

observa en la Figura 8.

9
Figura 8 Seleccionar la ubicación de la imagen, el Time Zone, y los hashes he

información por defecto.

Fuente: Elaboración propia.

Cuando tengamos esta información le damos next y nos mostrara un paso para escoger los
módulos para el análisis de la imagen en este caso se desactivo el módulo de DJI Drone Analizer.

Como se observa en la Figura 9.

10
Figura 9 Seleccionar los módulos para analizar la imagen

Fuente: Elaboración propia

Después de escoger los módulos le damos next y comienza a cargar toda la configuración

que establecimos además empieza a obtener toda la información de la imagen, esto puede tardar

dependiendo del tamaño de la imagen. Como se observa en la Figura 10.

11
Figura 10 cargando la configuración y obtención de información de la imagen

Fuente: Elaboración propia

 Cuando se haya completado la carga nos mostrara la interfaz gráfica donde podremos

visualizar toda la información de nuestro caso, en la parte izquierda fuente de datos (data sources)

contiene la imagen, si la seleccionamos nos da la visualización en la parte derecha como, por

ejemplo: • Nombre: [Link]

• Tipo: imagen

• Tamaño en Bytes: 1474560

• Tamaño de sector: 512

• Time Zone: América/Bogotá

• ID del dispositivo: 5dc655ac-90bd-4ef4-9fea-ef21bc5da335

Como se observa en la figura 11.

12
Figura 11. Visualización de información de la imagen.

Fuente: Elaboración propia.

En la parte izquierda dentro de la imagen nos muestra tres carpetas y un archivo con

extensión Zip, la primera carpeta esta nombrado como “$OrphanFiles” es una carpeta que en

nuestro análisis no contiene archivos huérfanos que son archivos eliminados que todavía tiene

metadatos de archivo en el sistema de archivos y no se puede acceder al directorio raíz.

([Link], 2008).
 En la siguiente carpeta “$CarvedFiles” se encuentra archivos y fragmentos de archivos que

fueron recuperados por Autopsy mediante el proceso de tallado de archivos (file carving), en nuestro

caso logro recuperar dos archivos el primero es un archivo Word con la siguiente información: •

Nombre: f0000000_Jimmy_Jungle.doc

• Tamaño: 20480 bytes

• MD5 Hash: b775eb6a4ccc319759d9aaae1e340acc

• SHA-256: 63e806e7066151b1f7e9a01a5c8c391ab7253b37a992fd03c0ec82ecfe28488d

Como se observa en la Figura 12 en la parte de abajo metadatos del archivo.

13
Figura 12 información del archivo Word recuperado.

Fuente: Elaboración propia

También en la parte de abajo del ítem Text nos aparece el texto que fue indexado donde se

evidencia una carta escrita por Jimmy Jungle para Joe en la información de meta data se puede

obtener la siguiente información relevante:

• Fecha de creación: 2002-04-15T[Link]Z

• Ultima modificación: 2002-04-15T[Link]Z

• Ultima fecha de guardado: 2002-04-15T[Link]Z

• Conteo de caracteres: 787

 En la carta se puede resumir que Joe le está yendo bien vendiendo drogas en los colegios, él

le envía un archivo por correo electrónico con los horarios para expender drogas a diferentes

colegios a Jimmy quien cultiva marihuana y le surte a Joe para que venda, el archivo que le envió

necesita una contraseña para abrirlo la cual se encuentra en otro archivo que previamente Jimmy le

había enviado. Como se observa en el documento que fue eliminado y recuperado de la Figura 13.

14
Figura 13. información de los metadatos del archivo y el texto del documento.

Fuente: Elaboración propia

En la parte de abajo al lado izquierdo de la opción Text se encuentra el ítem Hex que se usa

para mostrar el contenido binario de un archivo en hexadecimal, con bytes que se muestran como

caracteres ASCII a la derecha. Como se observa en la Figura 14.

15
Figura 14. visualización del campo Hex de Autopsy.
 Fuente: Elaboración propia.
En el siguiente archivo se puede observar que también fue eliminado y Autopsy lo logro

recuperar, es una imagen con la siguiente información del meta data en la parte de abajo (File Meta

data). Como se observa en la Figura 15 y la imagen en la Figura 16.

16
Figura 15 Información de los metadatos del archivo

Fuente: Elaboración propia.

En la parte de aplicación se muestra la imagen recuperada mediante el proceso de tallado que

se usa en análisis forense. Como se observa en la figura 16.

Figura 16 Imagen obtenida mediante proceso de análisis forense de tallado

 Fu

ente: Elaboración propia.

17
En la parte de abajo del ítem Hex se puede encontrar información relevante exactamente en

la página 7, podríamos analizar que posiblemente se usó técnicas de esteganografía para ocultar

escritura en una imagen en este caso con extensión bmp. Como se observa en la Figura 17.

Figura 17 posible obtención de información de la imagen en parte hexadecimal.

Fuente: Elaboración propia.

En el siguiente ítem Text podemos visualizar la misma información donde se observa un

texto el cual es “pw=goodtimes”. Como se observa en la Figura 18.

18
Figura 18 Información del texto indexado.
Fuente: Elaboración propia.

Para la investigación del caso Jacobi se decidió extraer los tres archivos incluyendo el archivo con

extensión zip este proceso solo se muestra al exportar la imagen con extensión bmp a la carpeta

Export. Como se observa en la Figura 19.

Figura 19 exportación de imagen para su análisis posterior

19
Fuente: Elaboración propia.

En la siguiente carpeta “$unalloc” se puede visualizar un archivo que fue borrado y lo

podemos recuperar, el cual podría ser el archivo que Joe envió a Jimmy Jungle. Como se observa en

la Figura 20.

Figura 20. Documento Word recuperado.

 Fuente: elaboración propia
En el siguiente archivo se visualizar con extensión zip que contiene un documentó Excel,

nombrado horario de visitas, pero no cuenta con mucha información y tampoco cuenta con tamaño

en este caso se va a exportar a la carpeta Export. Como se observa en la Figura 21. .

20
Figura 21. Información de los metadatos del archivo

Fuente: Elaboración propia

Al descomprimir el archivo y abrirlo, muestra un mensaje como si hubiera sido corrompido.

Como se observa en la Figura 22.

Figura 22. Mensaje de Excel al abrir archivo de horario de visitas para su

visualización.
 Fuente: Elaboración propia.
21

En la parte izquierda de la interfaz de Autopsy podemos visualizar los archivos en (File

Views) estos archivos le podemos comparar los hashes con los archivos que descargamos para

saber que no fueron comprometidos. Como se observa en la Figura 23 donde comparamos una

imagen con la descargada.

Figura 23. Comparación de hashes con el archivo descargado

Fuente: Elaboración propia

En la parte de archivos podemos encontrar un archivo con extensión zip y un tamaño de

2394 KB, en la parte de meta data podemos observar las fechas que datan del 2004 y los hashes

por defecto. Como se observa en la Figura 23.

22
 Figura 24 información de la meta data del archivo .zip nombrado horario de visitas.

Fuente: Elaboración propia.

Al descomprimir el archivo se abre una nueva ventana donde nos pide una contraseña, en

la figura 17 y 18 podemos observar un texto en una imagen la cual podría indicar que este es la

contraseña, la digitamos y efectivamente es la contraseña para acceder al documento de Excel.

Como se observa en la Figura 25.

Figura 25 extracción del archivo mediante la digitación de la clave previamente

obtenida

23
Fuente: Elaboración propia.

Al extraer el documento y al ejecutarlo podemos visualizar tres columnas, la primera son

los meses de abril a junio del 2002, la siguiente columna son los días enumerados del 1 al 5 por
semana y por último se encuentra la información de los colegios referenciados de la “A” a la “F”

donde se expende las drogas. Como se observa en la Figura 26.

Figura 26. Visualización del horario de visitas de los colegios por parte del expendedor

de drogas.

Fuente: elaboración propia.

Volviendo a la interfaz de Autopsy en la parte de Extensión Mismatch Detector de la parte

izquierda podemos observar una imagen con extensión BMT con la siguiente información de los

meta datos. Como se observa en figura 27.

24
Figura 27. Visualización del nombre, tamaño, fecha y hashes de la imagen recuperada
 Fuente: Elaboración propia.
En el siguiente ítem de Text podemos visualizar que se usó igualmente una técnica de

esteganografía para ocultar la contraseña del horario de expendio de drogas a los colegios. Como

se observa en la Figura 28.

Figura 28 Visualización de la contraseña oculta en una imagen

Fuente: Elaboración propia

25
Ahora en la parte superior podemos visualizar un panel donde están las imágenes que se

hallaron y en la parte derecha la imagen y la información. Como se observa en la Figura 29.

Figura 29 panel de imágenes y videos que fueron obtenidos.

 Fuente: Elaboración propia.
En la parte de comunicaciones no se evidencio información como llamadas, IP. Como se

observa en la Figura 30.

Figura 30. Panel de comunicaciones sin resultados obtenidos

26
Fuente: Elaboración propia.

En el siguiente panel se observa que no hubo metadatos de archivos que contuviera la

geolocalización. Como se observa en la Figura 31.

Figura 31 panel de geolocalización sin información obtenida

 Fuente: Elaboración propia.
En el siguiente panel podemos visualizar la línea de tiempo de la información obtenida,

desde abril del 2002 hasta mayo del 2004. Como se observa en la figura 32. Figura 32. Línea de

tiempo del caso

Fuente: Elaboración propia

27
En la parte de detalles podemos visualizarlo primero por unidad de tiempo, año, día o

minutos, también por tipo de evento si es por categoría o evento y por último la descripción de

detalle que son bajo, medio y alto. Como se observa en la Figura 33.

Figura 33. Visualización de la línea de tiempo por detalle.

 Fuente: Elaboración propia.
En el mismo panel de línea de tiempo podemos observar en forma de lista y nos muestra

el dato y tiempo, el tipo de evento la descripción entre otros. Como se observa en la Figura 34.

Figura 34. Visualización de la línea de tiempo por lista

Fuente: Elaboración propia.

28
Para generar un reporte uno se ubica en la parte superior central “Generate Report” donde

uno puede escoger el módulo en este caso se estableció un reporte en HTML. Como se observa

en la Figura 35.

Figura 35 Generar reporte final en Autopsy en formato HTML

 Fuente: elaboración propia.
Después de nombrar el header del reporte nos va a pedir que seleccionemos la imagen y

después seleccionamos todos los resultados. Al final va a cargar el reporte podemos visualizar la

URL, lo seleccionamos y visualizamos la primera página del reporte con su tabla de contenido en

la parte izquierda. Como se observa en la Figura 36.

29
Figura 36. Reporte final del caso Jacobi en Autopsy

Fuente: Elaboración propia.

30
5. Actividades de Consulta

¿Qué datos cruciales están disponibles en el archivo [Link] y por qué estos datos? En el

archivo [Link] se encontró una escritura oculta mediate una técnica de esteganografía la
cual era pw = goodtimes, este texto era la clave para descomprimir un archivo zip con el horario

de venta de drogas que el expendedor tenía en los colegios, otro hallazgo importante es que desde

el año 2002 tenía comunicación con un distribuidor de marihuana esto se puede evidenciar con

los metadatos de otra imagen.

¿Qué otras escuelas secundarias (aparte de Smith Hill) tiene Joe Jacobs?

Otras escuelas que Joe Jacobs tenia se encuentra en el horario de visitas como por

ejemplo Key High School, Leetch High School entre otros colegios, como se observó en la

figura 26. ¿Quién es y qué papel tiene Joe Jacobs en el caso?

Joe Jacobs fue el expendedor de drogas que contenía un horario para ir a seis escuelas de

estado unidos para vender drogas

Para cada archivo, qué procesos fueron tomados por el sospechoso para ocultarlos de

¿otros?

El utilizo una técnica de estenografía para ocultar información, por ejemplo, en una

carpeta pudo crear un archivo llamado Nota en formato TXT con algún texto y también guardo

una imagen llamada foto en la carpeta, después abre el CMD, se dirigió al directorio donde está la

carpeta que tiene la imagen y el TXT mediante CMD y utilizo un comando para copiar los dos

archivos en una nueva imagen nombrándola con formato JPG.

El comando con la opción /b para indicar un archivo binario fue:

• copy /b [Link] + [Link] [Link]

¿Qué procesos utilizó (el investigador) para examinar exitosamente todo el contenido de cada

archivo?

31
El investigador utilizo información del ítem Hex que se usa para mostrar el contenido

binario de un archivo en hexadecimal, con bytes que se muestran como caracteres ASCII dentro

del panel de Autopsy, además visualizo los metadatos y descargo los archivos que fueron
recuperados mediante proceso informático de tallado forense que realizo el programa.

También utilizo el programa HashTab para comprobar la integridad de la imagen del

disco como también algunas imágenes con formato BMP que fueron exportados del caso. ¿Qué

programa de Microsoft se utilizó para crear el archivo de portada?

Se uso un archivo en formato de imagen Windows Bitmap (BMP) aunque hay otro

archivo con diferente hash que igualmente guardo la contraseña y tiene el mismo formato.

32
6. Conclusiones

Mediante dos programas el primero HashTab y Autopsy se pudo inicialmente comprobar

la integridad de la imagen del disco y se analizó la información mediante Autopsy, esto es muy

importante para llevar un caso a un ente judicial.

Con Autopsy se logró visualizar la información eliminada que se pudo recuperar mediante

el programa como, por ejemplo, un documento de Word que fue enviado a un productor de

marihuana que fue el distribuidor de Joe, un archivo de compresión con un documento Excel del

horario que tenía Joe Jacobs para vender drogas en seis colegios, dos imágenes que contenían

texto oculto para poder descomprimir el archivo Excel.

Esta actividad me ayudo a crear un caso de investigación donde es muy importante que no

se corrompa la información, y el estudio metódico mediante el contenido hexadecimal que

muestra el programa de los archivos como también sus meta datos para demostrar cuando fue

creado los archivos, cuando fueron modificados, que tipo de información puede ser sospechosa

de a ver sido modificada para ocular en este caso una contraseña.

Otro factor fue la línea de tiempo del caso, una función del programa me dio una idea de

que tan grande puede llevar un caso, la trazabilidad de cada archivo y su historial en los meta

datos dentro de los años 2002 y 2004.

En general pude aprender y llevar un orden para buscar información que desconocía
además de investigar cada proceso de Autopsy y cómo interpretar la información mediante la

investigación de conceptos que desconocía.

33
7 Bibliografía
Basis Technology. (2021). autopsy. Obtenido de [Link]

implbits. (s.f.). [Link] Obtenido de [Link]

[Link]. (5 de Noviembre de 2008). [Link]. Obtenido de

[Link]