Analyse de fichiers PDF

Reading time: 3 minutes

Pour plus de détails, consultez : https://trailofbits.github.io/ctf/forensics/

Le format PDF est connu pour sa complexité et son potentiel à dissimuler des données, ce qui en fait un point focal pour les défis de forensic CTF. Il combine des éléments en texte brut avec des objets binaires, qui peuvent être compressés ou chiffrés, et peut inclure des scripts dans des langages comme JavaScript ou Flash. Pour comprendre la structure des PDF, on peut se référer au matériel d'introduction de Didier Stevens, ou utiliser des outils comme un éditeur de texte ou un éditeur spécifique aux PDF tel qu'Origami.

Pour une exploration ou une manipulation approfondie des PDF, des outils comme qpdf et Origami sont disponibles. Les données cachées dans les PDF peuvent être dissimulées dans :

• Couches invisibles
• Format de métadonnées XMP par Adobe
• Générations incrémentales
• Texte de la même couleur que l'arrière-plan
• Texte derrière des images ou images superposées
• Commentaires non affichés

Pour une analyse PDF personnalisée, des bibliothèques Python comme PeepDF peuvent être utilisées pour créer des scripts de parsing sur mesure. De plus, le potentiel du PDF pour le stockage de données cachées est si vaste que des ressources comme le guide de la NSA sur les risques et contre-mesures des PDF, bien qu'il ne soit plus hébergé à son emplacement d'origine, offrent encore des informations précieuses. Une copie du guide et une collection de trucs sur le format PDF par Ange Albertini peuvent fournir des lectures supplémentaires sur le sujet.