PDF-Dateianalyse

Reading time: 2 minutes

Für weitere Details siehe: https://trailofbits.github.io/ctf/forensics/

Das PDF-Format ist bekannt für seine Komplexität und das Potenzial, Daten zu verbergen, was es zu einem Schwerpunkt für CTF-Forensik-Herausforderungen macht. Es kombiniert Text-Elemente mit binären Objekten, die komprimiert oder verschlüsselt sein können, und kann Skripte in Sprachen wie JavaScript oder Flash enthalten. Um die PDF-Struktur zu verstehen, kann man auf Didier Stevens' einführendes Material zurückgreifen oder Werkzeuge wie einen Texteditor oder einen PDF-spezifischen Editor wie Origami verwenden.

Für eine eingehende Untersuchung oder Manipulation von PDFs stehen Werkzeuge wie qpdf und Origami zur Verfügung. Versteckte Daten innerhalb von PDFs könnten verborgen sein in:

• Unsichtbaren Ebenen
• XMP-Metadatenformat von Adobe
• Inkrementellen Generationen
• Text mit der gleichen Farbe wie der Hintergrund
• Text hinter Bildern oder überlappenden Bildern
• Nicht angezeigten Kommentaren

Für die benutzerdefinierte PDF-Analyse können Python-Bibliotheken wie PeepDF verwendet werden, um maßgeschneiderte Parsing-Skripte zu erstellen. Darüber hinaus ist das Potenzial von PDFs zur Speicherung versteckter Daten so groß, dass Ressourcen wie der NSA-Leitfaden zu PDF-Risiken und Gegenmaßnahmen, obwohl nicht mehr an seinem ursprünglichen Standort gehostet, weiterhin wertvolle Einblicke bieten. Eine Kopie des Leitfadens und eine Sammlung von PDF-Format-Tricks von Ange Albertini können weitere Lektüre zu diesem Thema bieten.