Ich würde gerne den Inhalt einer dubiosen pdf untersuchen. od zeigt schon mal was merkwürdiges: das Generierungsdatum der Datei ist als UTC+1 angegeben – wir haben im Moment UTC+2. VirusTotal findet – wie üblich – nichts. Womit kann man das Ding gefahrlos auseinander nehmen?
> Ich würde gerne den Inhalt einer dubiosen pdf untersuchen. > Womit kann man das Ding gefahrlos auseinander nehmen? Steht in der c't vom heise Verlag: https://www.heise.de/ratgeber/Schadcode-finden-Wie-Sie-PDF-und-Office-Dateien-sicher-untersuchen-7262138.html?seite=all
:
Bearbeitet durch User
Moriz schrieb: > od zeigt schon mal was merkwürdiges: das Generierungsdatum der Datei ist > als UTC+1 angegeben – wir haben im Moment UTC+2. Was soll daran "dubios" sein? Die Erde ist größer als Dein Vorgarten, und natürlich können auch in anderen Zeitzonen Menschen PDF-Dateien erzeugen. Du kannst ja mal mit mutool in die Innereien sehen, ein paar Informationen über PDF-Dateien rückt das schon raus.
PDFs können intern kompliziert sein. Ein einfacher Hex-Editor bringt einen nicht sonderlich weit. Der hier https://blog.didierstevens.com/programs/pdf-tools/ hat spezielle Open Source Analysetools geschrieben, und ein Video-Tutorial.
Harald K. schrieb: > Was soll daran "dubios" sein? Weil sie angeblich hier aus der Stadt kommt, von jemandem, den ich kenne. Mail ohne Inhalt, nur ½ MB pdf. Wenn das nicht dubios ist…
Hannes J. schrieb: > PDFs können intern kompliziert sein. Ein einfacher Hex-Editor bringt > einen nicht sonderlich weit. Das weiß ich… Die Erkenntnis mit der falschen Zeitzone hat od schon mal gebracht. Aber danke für den Tipp.
:
Bearbeitet durch User
> od zeigt schon mal was merkwürdiges: das Generierungsdatum der Datei ist > als UTC+1 angegeben – wir haben im Moment UTC+2. Sommerzeit versus Winterzeit ?!
Bradward B. schrieb: >> od zeigt schon mal was merkwürdiges: das Generierungsdatum der > Datei ist >> als UTC+1 angegeben – wir haben im Moment UTC+2. > > Sommerzeit versus Winterzeit ?! Du scheinst mich für ein wenig doof zu halten. Wenn der Zeitstempel das Datum 26.09.2024 trägt, ist das nicht sehr wahrscheinlich…
:
Bearbeitet durch User
Wo ist denn der Zeitstempel, in der Datei selbst oder in den Metadaten? Da war doch mal was mit FAT32 und fehlende Zeitzonen.
Moriz schrieb: > Das weiß ich… Die Erkenntnis mit der falschen Zeitzone hat od schon mal > gebracht. Erstens habe ich nichts über falsche Zeitzonen geschrieben. Zweitens, wenn du das Generierungsdatum aus dem PDF kennst, dann hast du nicht zufällig das PDF mit einem Viewer, Previewer o.ä. geöffnet? Vielleicht unbewusst weil dein Dateimanager PDF-Previews anzeigt oder Metadaten parst? Tja, dann hoffe mal dass die Software wasserdicht ist.
Alexander schrieb: > Wo ist denn der Zeitstempel, in der Datei selbst oder in den Metadaten? > Da war doch mal was mit FAT32 und fehlende Zeitzonen. Am Ende in der Datei. Die Metadaten einer per Mail herunter geladenen Datei sind in aller Regel nutzlos, weil auf dem Zielsystem entstanden. Wenn in der Datei UTC+1 steht, dann scheint der Generator einen Begriff von Zeitzonen zu haben – also lieber erst mal gründlich lesen, dann nachdenken…
> Wenn der Zeitstempel das Datum 26.09.2024 trägt, ist das nicht sehr > wahrscheinlich… Welches Generierungsdatum hat denn nun die Datei ? Abgesehen davon, das es heutzutage ein leichtes für eine Datei ist, per Email um den Globus zu reisen. Jetzt wegen einer "ausländischen" Zeitzonenangabe einer Datei unlautere Absichten zu unterstellen grenzt IMHO an infantilen Cyberrassismus ;-)
Hannes J. schrieb: > Zweitens, wenn du das Generierungsdatum aus dem PDF kennst, dann hast du > nicht zufällig das PDF mit einem Viewer, Previewer o.ä. geöffnet? Lesen scheint nicht zu deinen Kernkompetenzen zu gehören.
Moriz schrieb: > Harald K. schrieb: >> Was soll daran "dubios" sein? > > Weil sie angeblich hier aus der Stadt kommt, von jemandem, den ich > kenne. Mail ohne Inhalt, nur ½ MB pdf. > > Wenn das nicht dubios ist… Was sagt denn Dein Bekannter dazu?
Magnus M. schrieb: > Was sagt denn Dein Bekannter dazu? Der hat noch nicht geantwortet. Womöglich ist sein Postfach (t-online) gekapert? Die Mail kam jedenfalls von einer 172-er Adresse aus dem Netz der Telekom.
:
Bearbeitet durch User
Moriz schrieb: > Der hat noch nicht geantwortet. Womöglich ist sein Postfach (t-online) > gekapert? Besitzt dein Bekannter bereits ein sogenanntes "Telefon"?
Magnus M. schrieb: > Besitzt dein Bekannter bereits ein sogenanntes "Telefon"? Ich habe keine sogenannte Telefonnummer…
:
Bearbeitet durch User
Mit Javascript und encrypted Streamchunks, besitzt PDF schon genuegend Ausdrucksmittel, dass nicht jeder H0nk durch blosses "Ansehen" den Inhalt/Payload erkennen koennte. <pre> 4 0 obj <</Subtype/XML/Length 1/Type/Metadata>>stream <?xpacket begin="n++" id="W5M0MpCehiHzreSzNTczkc9d"?> =¤¦Æ¥º¦[O)N§+=-¦)= 5bé%-h=ÜRV-eÆ+2ÄÖ¦(ºªS+¦ªU|¢... ... endstream endobj
Magnus M. schrieb: > Moriz schrieb: >> Harald K. schrieb: >>> Was soll daran "dubios" sein? >> >> Weil sie angeblich hier aus der Stadt kommt, von jemandem, den ich >> kenne. Mail ohne Inhalt, nur ½ MB pdf. Ist Deine Delete-Taste defekt? Ein freundliche eMail "ich kann die PDF-Datei, die Du mir geschickt hast, nicht oeffnen" kann man immer schicken. > Was sagt denn Dein Bekannter dazu? Das ist sicher ein Test-Lauf fuer eine ZugFeRD-Rechnungsdatei. Das wird spannend ab Januar, denn unsere Supi-Regierung (insbesonders die Fachkraft "Digital First, Bedenken second") sagt: EMail-Empfang an ein normales eMail-Konto reicht fuer die Zustellung. Das wird alles noch sehr interessant. But I digress.
Es ist nicht zu übersehen, dass wir uns hier in einem deutschen Forum befinden. Die Neigung, sich selbst für den aller größten zu halten und selbstvertändlich davon auszugehen, dass einen niemand auch nur ansatzweise das Wasser reichen kann, ist ubiquitär… Thomas W. schrieb: > Das wird alles noch sehr interessant. But I digress. Die Behörden sind darin natürlich absolute Spitze! Und das kleine Arschloch eifert ihnen nach, ohne ihr Niveau zu erreichen… Notfalls gibt es sich mit down voting zufrieden. Ist besser als gar nichts…
:
Bearbeitet durch User
Moriz schrieb: > Es ist nicht zu übersehen das du keine ahnung davon hast, wie solche Zeitstempel zu stande kommen. Und weil du das nicht verstehst, denkst du, du bist was großem auf der Spur. Troll auf Reddit.
Rbx schrieb: > https://remnux.org Ich hab mir gerade eine kali-VM herunter geladen und versuche das Ding zu einem einigermaßen augenfreudlichen Farbschema zurecht zu konfigurieren, aber Thunar weigert sich standhaft. Wie kann man nur schwarze Fensterhintergründe vorkonfigurieren? Wollen die depressiv werden? Das ist nix für mich. Macht Rmnux auch solche Geschichten, oder sind die vernünftig?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.