Peritajes en Informática

 Los dispositivos iPhone corren sobre sistema operativo iOS que presenta desafíos adicionales al momento de realizar la peritación de comunicaciones vía WhatsApp. El presente procedimiento tiene por objetivo delinear una metodología de trabajo al momento de peritar los registros de comunicaciones WhatsApp ofrecidos como prueba cuando los mismos obran en un dispositivo de estas características. Versión instalada de WhatsApp: Abrir WhatsApp, dirigirse al menú Ayuda y tomar captura de pantalla de esa información. Fecha y hora: Abrir Calendario y tomar Fecha. Abrir reloj y tomar hora. Observar que la hora coincide con la que figure arriba en el celular. A. Jailbreak apps Es importante conocer si el dispositivo aportado como prueba posee permisos de superusuario o jailbreak y en su caso, el alcance de dichos permisos. Para ello se debe buscar por las apps Cydia y Sileo, ambas de uso en celulares que presentan Jailbreak. B.1. Buscar por Cydia, Sileo, Electra B.2. Buscar por unc0ver, chimera

Tomar marca y versión de sistema operativo y navegador. - Ver fecha de creación y/o edición de una página web: Botón derecho > Ver código fuente. CTRL+F: Buscar por términos: "published", "created" o "modified" - verificar archivo etc hosts: 1. C:\Windows\System32\drivers\etc -> hosts 2. registrar datos de tu iP pública y la de la página accedido buscar: what is my ip 3. Ingresar a google y buscar "hora actual" tomar esa captura. 4. Registrar en la blockchain federal Argentina hash de los archivos:   https://bfa.ar/   Menú: Herramientas > Sello del tiempo 2.0. (Otras opciones: freetsa.org o bien https://truetimestamp.org/  ) Ingresar a zenmap y ejecutar nmap del servidor extraer topología e información del servidor y puertos activos.  a) intense scan no ping $ nmap -T4 -A -v -Pn google.com > nmap.txt b) ping scan $ nmap -sn google.com c) Traceroute $ sudo nmap -sn --traceroute gmail.com $ traceroute google.com A partir de la IP obtene

Análisis de archivos de audio del aplicativo WhatsApp. Existen varias formas de extraer los archivos de audio asociados a una conversación entre dos contactos de WhatsApp. La primera de ellas consiste en acceder a la carpeta "WhatsApp Voice Notes" y copiar los archivos directamente desde allí. La segunda consiste en realizar una exportación del total de los registros de las conversaciones seleccionando la opción "incluir archivos". La tercera opción aprovecha la funcionalidad de WhatsApp web y descarga a partir de allí los archivos de audio uno a la vez. Cuando se realiza la extracción directa desde el dispositivo móvil o bien la exportación de una comunicación específica los archivos de audio poseen la extensión .opus. Cuando se efectúa la descarga de los archivos de audio uno por vez desde el aplicativo WhatsApp Web, el archivo que se descarga posee extensión .ogg. Desde el punto de vista del presente análisis forense estructural y de metadatos ambos archivos son

Obtener los archivos de imagen ofrecidos como prueba en su formato original. De ser posible solicitar dos o más archivos indubitados tomados a partir del mismo dispositivo. Colocar todos los archivos en la misma carpeta 1. Descargar el aplicativo mediainfo.exe: 1.1. Dirigirse al sitio web: https://mediaarea.net/en/MediaInfo/Download/Windows  1.2. Identificar la versión CLI de 32 o 64 bits y descargarla. A la fecha el link de descarga directo es: https://mediaarea.net/download/binary/mediainfo/21.03/MediaInfo_CLI_21.03_Windows_x64.zip 1.3. Descomprimir la carpeta y extraer el archivo mediainfo.exe 2. Crear el archivo mediainfo.bat con el siguiente contenido: for %%f in (.\IMG\*) do mediainfo --Details =1 --Output = XML "%%f" >> "%%f.xml" PAUSE 2.1. Colocar el archivo mediainfo.exe y mediainfo.bat en una carpeta. Crear dentro de esa carpeta una subcarpeta de nombre IMG. Colocar todos los archivos a peritar en la subcarpeta IMG. 2.2. Ejecutar el archivo med

 Comparaciones utilizando reporte Media Trace. Se debe contar con dos archivos indubitados obtenidos en acto pericial y uno o más archivos dubitados. 1. Descargar el aplicativo MediaConch seleccionando la versión 64 bits without installer (portable) de: https://mediaarea.net/MediaConch/Download/Windows (Actualmente el archivo comprimido se descarga directamente del siguiente hipervínculo) https://mediaarea.net/download/binary/mediaconch-gui/18.03.2/MediaConch_GUI_18.03.2_Windows_x64_WithoutInstaller.7z 2. Ejecutar MediaConch.exe y oprimir el botón [Choose Files] 3. Seleccionar los dos archivos indubitados y el o los archivos dubitados a peritar y luego oprimir el botón [Check Files]. En el apartado Results aparecerán los archivos en estado Analyzed de color verde. 4. En la columna MediaTrace oprimir el ícono "Download" y descargar los archivos XML 5. Dirigirse al sitio https://www.textcompare.org/xml/ y realizar una primera comparación entre los dos archivos indubitados para

 Si tomamos un archivo pdf y lo renombramos para que posea el siguiente nombre: mi_archivo.png no se convierte automáticamente en un archivo de imagen png sino que por el contrario, el software buscará en el encabezado el contenido y muy probablemente no podrá abrir dicho archivo indicando un error en el formato. Los distintos tipos de archivos de la computadora pueden ser identificados a partir de los primeros bytes en ellos obrantes. Así por ejemplo FF D8 ... se trata de archivos jpeg. Un listado extenso conteniendo información de archivos y sus bytes iniciales puede ser consultado en el siguiente sitio: https://www.garykessler.net/library/file_sigs.html O bien es posible también utilizar el servicio web publicado en el siguiente hipervínculo: https://filext.com/ Donde luego de arrastrar y soltar un archivo, el programa devuelve el tipo de archivo que se trata.

 Código PHP para extraer correos electrónicos de carpeta de enviados, su código fuente y los metadatos obrantes en el servidor para dicho correo. <? php /* Modo de uso: Para relevar los correos electrónicos del año 2012 c:\Imap\> php HotmailRecibidosSaveEml 2012 Inbox */ $username = 'juanpf@hotmail.com' ; $password = '***********' ; $folder = 'SENT' ; // 'SENT' 'INBOX' $usernameTime = $username . date ( 'H-i-s' , time ()); if ( isset ( $argv [ 1 ])) { if ( $argv [ 1 ] == "all" ) { $anno = date ( "Y" ); } else { $anno = $argv [ 1 ]; } } else { $anno = date ( "Y" ); } $annoPrevio = $anno - 1 ; if ( isset ( $argv [ 2 ])) { $folder = $argv [ 2 ]; } else die ( "

A. Respaldar los mensajes de WhatsApp. 1. Conectar el celular vía USB a la computadora. 2. Dirigirse a la carpeta whatsapp en el celular. 3. Copiar la totalidad de la carpeta whatsapp y sus subcarpetas a la unidad de disco duro de la computadora. B. Restaurar los mensajes de WhatsApp en el mismo celular o en uno nuevo: 1. Copiar la carpeta whatsapp respaldada en el apartado anterior y pegarla en la carpeta raíz del celular. Las bases de datos msgstore.db.cryptXX deben quedar en ROOT\WhatsApp\Databases (para el caso de maquina virtual utilizar la carpeta sdcard\WhatsApp\Databases  o bien sdcard\Android\media\com.whatsapp\WhatsApp\Databases 2. Instalar WhatsApp en el nuevo celular y configurarlo. Ingresar los 6 dígitos de verificación. 3. Una vez ingresados los 6 dígitos del código de seguridad aparece un mensaje indicando:  Restore Backup. Backup found 5 minutes ago Size: 583 MB 4. Seleccionar la restauración y aguardar a que se recuperen los mensajes. 5. En ese nuevo celular es posible

 En ofrecimientos de prueba es posible que al momento del acto pericial los mensajes no se encuentren en el dispositivo y por tanto no puedan ser peritados a partir de su ubicación original. Para evitar este tipo de situaciones es recomendable realizar un respaldo de los mensajes encriptados. Para ello: 1. Conectar el celular a la computadora o notebook vía cable USB. 2. Acceder a la carpeta WhatsApp y desde allí a la subcarpeta Databases 3. Copiar el archivo msgstore.db.cryptXX* y pegarlo en una carpeta denominada: Expediente Número \ respaldo \ WhatsApp 4. Opcionalmente repetir el paso para el resto de los archivos obrantes en la carpeta Databases del celular. (*) XX es la versión del encryptador utilizado, a la fecha puede ser 12 o 14. En acto pericial. Para el caso de que el encriptador continúe siendo el mismo, restaurar los mensajes obteniendo el archivo key del celular y utilizando el aplicativo WhatsApp Viewer de Andreas Mausch. https://github.com/andreas-mausch/whatsapp-viewer