アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

PDF ファイル暗号化の影響

PDFファイルを暗号化(オープン時にパスワードを要求するように設定)した場合、ストリーム内容が暗号化されるので、\xFF \xD8 などのパターンがなくなり、バイナリ検索では JPEG 画像を検出することができません。

PDFファイルにパスワードを設定するコマンドライン
pdftk test001.pdf output test001en.pdf owner_pw computer user_pw forensics

この場合でも、PDF 内の /Image. はそのままなので、プロテクトされた PDF ファイルには、まずは /Image. 文字列による検索を試してみるという感じでしょうか。 (5/27)訂正、どうもPDFを生成するアプリケーションに依存するようなので、/Image のパターンで検索するほうがよいようです(5/27)

Owner パスワードが設定されている場合、圧縮を uncompress コマンドで伸張しようとする段階でパスワード入力が求められます。