AF-2DFB-DOC · Doküman / PDF
PDF'te Gizli Veri
İNDİRİLEBİLİR gerçek PDF (fatura). Gerçek kanıt %%EOF trailer'ından SONRA eklenmiş gizli veridedir; görünür metindeki 'ref' bir tuzaktır.
Senaryo
Açılabilir gerçek bir PDF fatura. Şüpheli, veriyi PDF'in %%EOF trailer'ından SONRA ekleyerek gizledi (PDF okuyucuları yok sayar, forensic bulur). Görünür fatura metninde makul ama zararsız bir 'ref' bayrağı var (tuzak). Metadata (Author) bir tanımlayıcıdır. Gerçek gizli bayrağı ve gizleme tekniğini bul; görünür tuzağı raporlama.
Anti-forensics teknikleri
- %%EOF sonrası veri ekleme (gizleme)
- Görünür sahte 'ref' bayrağı (red herring)
- Metadata analizi (Author/Producer)
Sağlanan artefaktlar
- PDF dökümanı (fatura, gizli eklenmiş veri)
Örnek sorular
- q1: %%EOF sonrasına gizlenmiş gerçek bayrak nedir?
- q2: Veri hangi teknikle gizlendi? (örn. appended / EOF sonrası)
- q3: PDF metadata'sındaki Author kimdir?
- trap1: Görünür metindeki 'ref' bayrağını kanıt diye raporlama.
Soundness tuzağı
Görünür 'ref' bayrağı zararsız bir arşiv etiketidir; kanıt diye raporlamak ağır ceza. Gerçek kanıt %%EOF SONRASINA gizlenmiştir.
Puanlama
Gizli-veri çıkarma + görünür-tuzak direnci (soundness).
İNDİRİLEBİLİR
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.