В этой небольшой статье я поделюсь с вами интересным наблюдением. В одном из моих OSINT-кейсов я наткнулся на интересную вещь связанную с метаданными PDF. Оказывается можно восстановить удаленные метаданные PDF-файла.
Еще по теме: Как извлечь метаданные PDF-файла
Восстановить удаленные метаданные PDF
Формат PDF позволяет сохранить предыдущие изменения документа в более поздней версии документа, тем самым создавая текущую историю изменений для документа. Получается, что удаленные метаданные инкрементны, а история изменений метаданных сохраняется в самом PDF-файле.
Для восстановления удаленных метаданных, нам потребуется инструмент ExifTool, который мы использовали в прохождении задания OSINT TryHackMe. ExifTool — это инструмент для чтения, изменения и удаления метаданных файлов.
Итак устанавливаем ExifTool:
|
1 |
sudo apt install libimage-exiftool-perl |
Запускаем ExifTool для проверки метаданных:
|
1 |
exiftool файл.pdf |
А теперь попробуем восстановить удаленные метаданные PDF:
|
1 |
exiftool -PDF-update:all= файл.pdf |
Как видите ExifTool смог восстановить ранее удаленную, важную информацию.
Удалить метаданные PDF без возможности восстановления
Насколько я понял, пока нужно удалить метаданные с помощью:
|
1 |
exiftool -all= файл.pdf |
Затем повторно линеаризовать PDF с помощью какой-нибудь тулзы типа qpdf:
|
1 |
qpdf -linearize файл.pdf очищенный.pdf |
Утилита для анализа и восстановления метаданных PDF
Уже после написания этой статьи, наткнулся на интересный инструмент, который называется PDFResurrect.
PDFResurrect — предназначен для анализа PDF-документов. Этот инструмент вытаскивает из PDF все версии файла. Измененные версии будут созданы как новые файлы, оставив исходный PDF без изменений.
На этом все. Я думаю информация будет полезна в ваших расследованиях OSINT и в форензике.
ПОЛЕЗНЫЕ ССЫЛКИ:
Так я не понял, где взять прогу, чтобы восстановить удалённые метаданные пдф файла?