Análise de Arquivos PDF

Reading time: 3 minutes

Para mais detalhes, consulte: https://trailofbits.github.io/ctf/forensics/

O formato PDF é conhecido por sua complexidade e potencial para ocultar dados, tornando-se um ponto focal para desafios de forense em CTF. Ele combina elementos de texto simples com objetos binários, que podem ser comprimidos ou criptografados, e pode incluir scripts em linguagens como JavaScript ou Flash. Para entender a estrutura do PDF, pode-se consultar o material introdutório de Didier Stevens, ou usar ferramentas como um editor de texto ou um editor específico de PDF, como o Origami.

Para exploração ou manipulação aprofundada de PDFs, ferramentas como qpdf e Origami estão disponíveis. Dados ocultos dentro de PDFs podem estar escondidos em:

• Camadas invisíveis
• Formato de metadados XMP da Adobe
• Gerações incrementais
• Texto com a mesma cor do fundo
• Texto atrás de imagens ou imagens sobrepostas
• Comentários não exibidos

Para análise personalizada de PDF, bibliotecas Python como PeepDF podem ser usadas para criar scripts de parsing sob medida. Além disso, o potencial do PDF para armazenamento de dados ocultos é tão vasto que recursos como o guia da NSA sobre riscos e contramedidas de PDF, embora não esteja mais hospedado em sua localização original, ainda oferecem insights valiosos. Uma cópia do guia e uma coleção de truques do formato PDF de Ange Albertini podem fornecer mais leitura sobre o assunto.