, , ,

GUÍA PARA UN PERITAJE INFORMÁTICO A PDFs

GUÍA PARA UN PERITAJE INFORMÁTICO A PDFs

El día de hoy y aprovechando mi estreno en el blog quiero contarles sobre un trabajo personal que realice, del cual he creado una especie de guía a modo de ejemplo para la gente que esté pensando en realizar algún tipo de pericia informática, deba realizar una similar o sencillamente quiere saber sobre este tema tan apasionante.

En este artículo veremos una simulación de una pericia a unos archivos PDF (supuestamente entregados por una fiscalía), donde hay que determinar mediante la comparación, cual es el real y cuál es el modificado, así que imaginemos toda esta parafernalia como una situación real desde ya ok?

Entremos en el personaje entonces.

Nos encomendaron este trabajo de análisis a unos documentos donde uno de ellos aparentemente es un plagio y tenemos la difícil misión de identificar la legitimidad de uno y determinar cuál es el falso, a simple vista podremos observar algunos detalles que son fáciles de concluir como por ejemplo; uno de ellos tiene 19 hojas y el otro 20, además de que uno de ellos no tiene la pagina 13, para que se vayan haciendo una idea ya que con este pequeño análisis realizado sin herramientas lo primero que podemos pensar es:

Y por si fuera poco ambos archivos se llaman igual, es entonces cuando debemos comenzar  a pensar en cómo podemos averiguar cuál de los 2 archivos es el de veritas y cuál es el “peak in the eyes”.

Manos a la obra, nuestro archivo esta comprimido y lo primero que tienes que realizar siempre es calcular el hash antes de comenzar a trabajar, esto es para que podamos comprobar que los archivos que nos facilitaron son los correctos y no están adulterados.

Una herramienta muy útil para esto es el programa HashCalc, el que puede calcular un hash con diferentes algoritmos SHA1, SHA256, RIPEMD160 y CRC32. Hacemos eso a nuestros archivos a periciar y los resultados se pueden observar en la siguiente imagen:

 

Para dar inicio con los trabajos de análisis de los archivos, descomprimimos  los  archivos que se nos facilitaron, estos son los siguientes:

 

A partir de ahora realizaremos el análisis de la misma forma en que deberías escribir un informe para su posterior entrega.


  1. Análisis y Resultados
  • Análisis de archivo 1 Víctima.
  1. [Paso 1]. Se procede a calcular el hash del archivo PDF de la víctima usando el software HashCalc, esta información se incluye en la tabla 1.

Tabla 1

Algoritmo

Hash

SHA1 a9f031ff67a8fe89c24ac76d7d8c2b0239cd13a9
SHA256 46a677c34dac31742eb4d5504b8a9b005ba580e6a047a29337dabf21b5e4c9d5
RIPEMD160 100fdd8ea6f4d95a8d0ebf2d26a2c9b3b124a4ba
CRC32 78b06a77

A continuación se presentan capturas de pantalla con los pasos realizados, imagen 2.1.

Imagen 2.1

 

  1. [Paso 2]. Se procedió a revisar el tamaño del archivo de la víctima.

Resultado: Tamaño archivo víctima 216.254 Kb. 20 Páginas.

A continuación se presentan capturas de pantalla con los pasos realizados, imagen 2.2.

Imagen 2.2

 

  1. [Paso 3]. Se procedió a analizar los metadatos con el software FOCA, el cual entrega los siguientes resultados, indicados en la tabla 2.

Tabla 2

Usuario Raranda
Fecha creación 28/05/2004 Hora 18:51:20
Fecha Modificación 28/05/2004 Hora 18:54:40
Software usados Microsoft office 95 – Acrobat PDFWriter 5.0
Titulo documento Documento 7

A continuación se presentan capturas de pantalla con los pasos realizados, imagen 2.3.

Imagen 2.3

 

  • Análisis de archivo 2 Imputado.
  1. [Paso 1]. Se procede a calcular el hash del archivo PDF del Imputado, usando el software HashCalc, esta información se incluye en la tabla 3.

Tabla 3

Algoritmo

Hash

SHA1 e973db800cef6a4e1d2948d0aa39a9a3d23a688f
SHA256 e6f632f9032295ce16ea4d8aba8f7d036703c11458fcdf670b62fbcc5736bd7e
RIPEMD160 707277c665fd724d169832eedb3d424c01962257
CRC32 23c23317
  1. [Paso 2]. Se procedió a revisar el tamaño del archivo del Imputado:

El tamaño del archivo del Imputado es de 217.242 Kb, con 19 Páginas, faltando la página 13.

A continuación se presentan capturas de pantalla con los pasos realizados, imagen 2.4.

Imagen 2.4

 

  1. [Paso 3]. Se procedió a analizar los metadatos con el software FOCA, el cual entrega los siguientes resultados, indicados en la tabla 4.

Tabla 4

Usuario raranda
Fecha creación 28/05/2004 Hora 18:51:20
Fecha Modificación 13/11/2012 Hora 13:54:09
Software usados Microsoft office 95 – Acrobat PDFWriter 5.0
Titulo documento Documento 7

A continuación se presentan capturas de pantalla con los pasos realizados, imagen 2.5.

Imagen 2.5

 

  • Análisis de Ambos archivos.
  1. [Paso 1]. Se realiza una comparación entre ambos archivos para verificar similitudes o diferencias. Para esto, se utiliza el Software Beyoncompare, cuya primera información otorgada es que ambos documentos tienen 20 hojas, lo que se indica de la siguiente manera /N20, y se puede observar en la siguiente captura de pantalla destacado con una flecha de color azul en ambos documentos, imagen 2.6.

Imagen 2.6

 

Como se puede apreciar, ambos archivos son aparentemente idénticos en toda su estructura, como lo muestra la imagen 2.7.

Imagen 2.7

 

Al seguir revisando ambos archivos, se  encuentra una diferencia que inicia en la línea 0034D22. Este campo solo lo tiene el archivo del imputado que está de color rojo, ambos archivos son idénticos hasta la línea 0034D12, lo cual indica que un cambio fue realizado sobre el archivo que entregó el imputado, esto se puede apreciar en la imagen 2.8.

Imagen 2.8

 

  1. [Paso 2]. Se procede a modificar la visualización del archivo entregado por el imputado en el software Beyoncompare, para tener una visión más ordenada y revisar de mejor manera la información entregada.

En la siguiente captura de pantalla se puede apreciar el parámetro <</ModDate que indica la fecha de modificación del archivo, el parámetro <</Count19 el que nos indica que el contador mostrará que este documento tiene solo 19 páginas. Ambos parámetros se encuentran señalizados con una flecha de color azul, como se muestra en la imagen 2.9.

Imagen 2.9

 

La imagen 3.0 que está a continuación nos indica que hay elementos encriptados, por esta razón no se pueden visualizar.

Imagen 3.0

 

Hasta ahora, con toda la información entregada por este programa, se tiene claro que este archivo fue modificado para ocultar una hoja, ya que en la primera información obtenida con este programa, al inicio de ambos archivos nos indica que ambos tiene 20 hojas.

  1. [Paso 3]. Se procede a usar el software EXEdit para analizar ambos archivos, se cargan ambos archivos en el software.

Archivo Víctima, imagen 3.1

Imagen 3.1

 

Archivo Imputado, imagen 3.2

Imagen 3.2

 

Se puede observar en la imagen 3.3 ambos archivos cargados en el programa EXEdit.

Imagen 3.3

 

Al revisar todo el archivo, se aprecia que el perteneciente a la victima termina en la posición 216353 y el archivo del imputado termina en la posición 217233, imagen 3.4.

Imagen 3.4

 

  1. [Paso 4]. Se selecciona el archivo del imputado y se efectúa la prueba para eliminar los datos alojados desde la posición 216354 hasta la posición 216377, siendo este el rango que muestra la diferencia con el archivo de la víctima, imagen 3.5.

Imagen 3.5

 

Como se puede observar en la imagen 3.6, donde se elimina el rango indicado anteriormente, este se indica con una flecha.

Imagen 3.6

 

Se procede a guardar los cambios realizados para ver el resultado de dicha modificación, imagen 3.7.

Imagen 3.7

 

  1. [Paso 5]. Se procede a calcular nuevamente el hash del archivo del imputado despues de ser modificado,  a modo de realizar una comparación con el archivo de la víctima calculado anteriormente.

Tabla hash Archivo Victima wp2004_01.pdf, tabla 5.

Tabla 5

Algoritmo Hash
SHA1 a9f031ff67a8fe89c24ac76d7d8c2b0239cd13a9
SHA256 46a677c34dac31742eb4d5504b8a9b005ba580e6a047a29337dabf21b5e4c9d5
RIPEMD160 100fdd8ea6f4d95a8d0ebf2d26a2c9b3b124a4ba
CRC32 78b06a77

Tabla hash Archivo Imputado sin modificación de archivo wp2004_01.pdf, tabla 6.

Tabla 6

Algoritmo

Hash

SHA1 e973db800cef6a4e1d2948d0aa39a9a3d23a688f
SHA256 e6f632f9032295ce16ea4d8aba8f7d036703c11458fcdf670b62fbcc5736bd7e
RIPEMD160 707277c665fd724d169832eedb3d424c01962257
CRC32 23c23317

 

Tabla hash archivo imputado modificado wp2004_01.pdf, tabla 7.

Tabla 7

Algoritmo

Hash

SHA1 a9f031ff67a8fe89c24ac76d7d8c2b0239cd13a9
SHA256 46a677c34dac31742eb4d5504b8a9b005ba580e6a047a29337dabf21b5e4c9d5
RIPEMD160 100fdd8ea6f4d95a8d0ebf2d26a2c9b3b124a4ba
CRC32 78b06a77

 

Como se aprecia en la imagen 3.8 que está a continuación y si comparamos con los valores hash de la víctima, se observa que los nuevos valores obtenidos en el archivo del imputado son iguales a los valores obtenidos de los archivos de la víctima.

Imagen 3.8

 

  1. [Paso 6]. Se procede a abrir el archivo del imputado, el que fue modificado eliminando los valores indicados anteriormente, imagen 3.9.

Imagen 3.9

 

En la imagen 4.0 ya se pude apreciar que dicho archivo contiene 20 páginas y no las 19 que mostraba en un inicio.

Imagen 4.0

 

 

 

Ahora, al revisar el documento se puede visualizar la página numero 13 era la estaba oculta, imagen 4.1.

Imagen 4.1

 

  1. [Paso 6]. Se revisa el tamaño del archivo después de la modificación y se puede apreciar que ahora ambos archivos son idénticos en su tamaño, imagen 4.2.

Imagen 4.2

 

 

Conclusiones

  1. Archivos Objeto de Peritaje

Para el desarrollo del  peritaje se utilizaron los archivos que a continuación se detallan:

Archivo comprimido entregado por la fiscalía llamado Caso2018.rar

Tabla hash archivo comprimido entregado por fiscalía, tabla 8.

Tabla 8

Algoritmo Hash
SHA1 e1441f7d8850bddc9b7dc304b5234fec160ff60b
SHA256 961ab1a36a7d965a7082c07b751f9bfead2ede594d008a27af74fb5d2bb24a64
RIPEMD160 cb6ce675e5081a345656352a79e35595c3bfa86a
CRC32 ec182768

 

Los archivos descomprimidos tienen los siguientes valores hash

Tabla hash Victima, tabla 9.

 

Tabla 9

Algoritmo Hash
SHA1 a9f031ff67a8fe89c24ac76d7d8c2b0239cd13a9
SHA256 46a677c34dac31742eb4d5504b8a9b005ba580e6a047a29337dabf21b5e4c9d5
RIPEMD160 100fdd8ea6f4d95a8d0ebf2d26a2c9b3b124a4ba
CRC32 78b06a77

 

Tabla hash Imputado, tabla 10.

Tabla 10

Algoritmo Hash
SHA1 e973db800cef6a4e1d2948d0aa39a9a3d23a688f
SHA256 e6f632f9032295ce16ea4d8aba8f7d036703c11458fcdf670b62fbcc5736bd7e
RIPEMD160 707277c665fd724d169832eedb3d424c01962257
CRC32 23c23317

La primera apreciación realizada es que los valores hash de ambos documentos son diferentes.

 

  1. Análisis de archivo 1.

En el primer análisis del documento de la víctima se obtuvieron los siguientes resultados, tabla 11:

Tabla 11

Usuario raranda
Fecha creación 28/05/2004 Hora 18:51:20
Fecha Modificación 28/05/2004 Hora 18:54:40
Software usados Microsoft office 95 – Acrobat PDFWriter 5.0
Titulo documento Documento 7
Tamaño KB 216.254 Kb.
Páginas 20

En relación al primer análisis se puede concluir lo siguiente:

  • Usuario que creo dicho documento raranda
  • Última modificación 28/05/2004 a las 18:53 Hrs
  • Tamaño en KB 216.254KB.
  • Total de páginas: 20
  1. Análisis de archivo 2.

En el primer análisis del documento del Imputado se obtuvieron los siguientes resultados, tabla 12:

Tabla 12

Usuario raranda
Fecha creación 28/05/2004 Hora 18:51:20
Fecha Modificación 13/11/2012 Hora 13:54:09
Software usados Microsoft office 95 – Acrobat PDFWriter 5.0
Titulo documento Documento 7
Tamaño KB 217.242 Kb
Paginas 19

En relación al primer análisis se puede concluir lo siguiente:

  • Usuario que creo dicho documento raranda
  • Última modificación 13/11/2012 a las 13:54 Hrs
  • Tamaño en KB 217.242KB.
  • Total de páginas: 19. Al revisar las páginas, se observa que falta la página 13.

 

  1. Análisis de ambos archivos Victima, Imputado.

Una vez realizado el análisis de ambos archivos (Ítem 2.3), se observan las similitudes encontradas, como por ejemplo el que el archivo del imputado tenga la misma fecha y hora de creación, mismo nombre de autor, el mismo nombre de documento estos como indica el análisis efectuado con la herramienta FOCA.

La segunda etapa del análisis fue la comparación de dichos documentos con el software Beyoncompare, el que mostró información al comienzo del archivo, indicando que ambos tenian 20 páginas, y eran iguales en todo hasta la posición 0034D12. Luego de esta posición, el archivo del imputado muestra 19 páginas en su contador y no las 20 que son declaras al inicio, mostrando además información encriptada en el documento del Imputado, lo que evidencia manipulación del archivo.

En la siguiente etapa del análisis se abren ambos archivos con el programa EXEdit, con el cual se llega a la posición 216353, demostrándose que estos son idénticos hasta esa posición, sin embargo, en el archivo del imputado se tiene información adicional donde se indica la modificación de este,  la cual se elimina y luego se calcula el hash del archivo del imputado, comparándose con el de la víctima.  Este cálculo arroja que ambos archivos son idénticos, por lo que se abre el documento del imputado con un software para leer los documentos PDF el que muestra en este momento 20 páginas en vez de 19. Al revisar el documento es posible visualizar la página 13 que no se mostraba anteriormente cuando este documento tenía la información adicional ya explicada.

Una vez realizado el análisis de ambos archivos, podemos concluir lo siguiente:

  • Ambos archivos fueron creados por el mismo autor intelectual
  • El archivo entregado por el imputado es una copia del archivo de la víctima, el cual fue modificado por este para que no quedaran iguales, usando un software para ocultar información.
  • Finalmente, al hacer el proceso de eliminar la data desde la posición 216354 hasta la posición 216377, se logró recuperar la página 13, que es la que no se mostraba, comparándose ambos hash, el de la víctima y el nuevo hash del documento modificado del imputado, teniendo la certeza de que ambos son el mismo archivo.

Ejemplo de informes hay mucho en la Internet, lo principal es ser bien meticuloso en cada detalle, no dejen pasar nada por alto ya que muchas veces el trabajo que Uds. deban realizar quizás dependerá de una decisión súper difícil que puede incluso llegar a comprometer la libertad de un individuo.

En este artículo podemos identificar algunas herramientas, ahora depende de ti el aprender más de ellas y utilizarlas, quizás piensas pero ¿cuándo voy a tener que ocuparlas? Pues déjame decirte que incluso en test de penetración o Ethical hacking es necesario comprobar la integridad de diversos archivos, por ende, no tomes a la ligera esto, en algún momento de tu vida, carrera o tus trabajos de universidad, tendrás que realizar algún tipo de análisis así que te invito a seguir aprendiendo, ya que el conocimiento es la mejor herramienta para poder enfrentar desafíos de este tipo.

Espero que les pueda servir este ejemplo de caso, como notaron utilice foca pero hay más herramientas para analizar archivos PDF como por ejemplo: pdfid, pdf-parser y peepdf.

 

Saludos y que tengan un excelente peritaje.

 

D0berm1n By #SombreroBlanco

 

 

 

 

6 Responses
  1. El hash del rar se calcula en caso de que la parte que encargo realizar la pericia quiera contrastar si los archivos que ellos facilitaron son los mismos, la idea es que calculen el hash a su .rar y contrastarlo con nuestro resultado, si no fueron modificados entonces deberían evidenciar el mismo resultado y como sabemos que hay vulnerabilidades en algunos hash es por eso que se calcula usando más de un algoritmo.

    En el paso 2 se indica qué hay un elemento encriptado, pero en esta etapa no se pude agregar que esa es la página ya que aún no se hace el ejercicio de eliminar la diferencia como en los siguientes pasos, esto solo se comprueba más abajo, ahora por que en la conclusión no se especifica técnicamente, esto es por que está hecho para que cualquier persona pueda leerlo sin tener conocimientos técnicos y entienda lo que sucedió.

    Las conclusiones están orientadas de forma menos técnicas ya que serán leídas por un juez.

  2. Hola.

    Me quedan algunas dudas al ser nuevo en este preciso tema.

    ¿Por qué calcular el hash de entrada en el rar si eso no nos da una referencia? Eso creo.

    Aunque entiendo las conclusiones, me genera duda la razón por la cual la parte encriptada no es la página que falta, al menos no se aclara en el artículo. Bueno, de esto no sé mucho, pero espero puedan explicarme. Saludos.

Leave a reply