การดูเวลาที่สร้างและเวลาครั้งสุดท้ายที่ทำการแก้ไขไฟล์ PDF

วันก่อนเจอ case เกี่ยวข้องกับการปลอมเอกสาร PDF ก็เลยนำมาเล่าสู่กันฟังเด้อ :) โจทย์ก็คือเราจะสามารถทราบได้อย่างไรว่าไฟล์เอกสาร PDF ที่ทำการตรวจสอบนั้น ถูกสร้างขึ้นเมื่อใดและถูกแก้ไขครั้งสุดท้ายเมื่อใด

วิธีการดูค่าเวลาต่างๆของไฟล์ PDF นั้นจะดูที่ค่า metadata ของไฟล์ PDF นั่นเอง ซึ่งสามารถดูได้ด้วยวิธีการนี้

• เปิดไฟล์ PDF ที่ต้องการตรวจสอบด้วยโปรแกรม Adobe Reader
• คลิกที่เมนู File แล้วเลือกที่ Document Properties...

• ที่ tab ชื่อ Description จะมีข้อมูลเกี่ยวข้องกับไฟล์ PDF อยู่ไม่ว่าจะเป็น ผู้ที่ทำการสร้างไฟล์ (Author), เวลาที่ทำการสร้างไฟล์ (Created) หรือ เวลาครั้งสุดท้ายที่ทำการแก้ไขไฟล์ (Modified)

เวลาที่ทำการสร้างไฟล์และเวลาครั้งสุดท้ายที่ทำการแก้ไขไฟล์ที่ดูด้วยวิธีนี้นั้นมีความน่าเชื่อถือมากกว่าวิธีการดูด้วยคำสั่ง dir เนื่องจากค่าที่ได้จากคำสั่ง dir นั้นจะเปลี่ยนแปลงไปเมื่อไฟล์ถูก copy หรือดาวน์โหลดมาจากที่อื่น ในขณะที่ค่าเวลาที่ดูด้วยวิธีการดังกล่าวนั้นจะไม่เปลี่ยนแปลงถึงเม้ว่าไฟล์นั้นจะถูกย้ายไปไว้ที่อื่นก็ตาม ซึ่ง forensic investigator สามารถใช้ค่าเวลาดังกล่าวในการวิเคราะห์และสร้างความสัมพันธ์ของเหตุการณ์ได้

อย่างไรก็ตามค่า metadata ดังกล่าวของไฟล์ PDF นั้นสามารถปลอมแปลงได้ ซึ่งอาจทำให้ผู้ที่ทำการปลอมแปลงเอกสารนั้น ทำการปลอมแปลงวันเวลาที่สร้างเอกสารให้เป็นวันที่เกิดขึ้นก่อนเอกสารของฝ่ายเรา ทำให้ดูเหมือนว่าเอกสารของเราเป็นของปลอม ดังนั้น forensic investigator จึงควรระวังตรงจุดนี้ไว้ สำหรับวิธีการรับมือกับการปลอมเวลาการสร้างไฟล์ PDF นั้นสามารถทำได้โดยการทำ construct timeline ของ activitity ของไฟล์บนระบบ ซึ่งถ้า activity timeline ไม่ตรงกับเวลาที่ไฟล์ถูกสร้างขึ้น เราจะสร้างใช้ข้อมูลตรงจุดนี้ทำการแย้งได้ (วิธีนี้จะใช้ได้ผลก็ต่อเมื่อค่า MAC ของไฟล์บนระบบไม่ถูกปลอมแปลงให้สัมพันธ์กับค่า metadata ของไฟล์ PDF)

P.S. การแก้ไขค่า metadata ของไฟล์ PDF จะทำให้ค่า checksum ของไฟล์เปลี่ยนไปด้วย ดังนั้นเราจึงควรเก็บ checksum ของไฟล์เราไว้ด้วยเสมอ