和痕迹鉴定专家攻防 PDF 的修改

  今天,有机会和省内一位痕迹鉴定专家 PK 了一下 PDF 文档的痕迹鉴定问题,这位专家其实和我本来就是很要好的朋友,只是业务上没有交集,平常没有业务上的交流。今天算是一个意外,过程大致是这样的,偶然因素(因涉密不能细说)谈到了怎样鉴定 PDF 文档是否被人为修改的问题,我坚持认为可以将 PDF 文档修改得『天衣无缝』,让他很难鉴定。在一些朋友的怂恿下,我们决定进行一下 PK,时间就定在今天。
  大致程序是这样的。首先,由我对一篇 PDF 文件进行修改,由这位来知名的痕迹鉴定专家鉴定是否修改以及修改了何处,全程由两位电视台的朋友和其他一些人员现场监督。由于是朋友之间的『游戏』,并没有现场录像之类的,所以只能作简单的文字记录。

  傍晚,突然接到这位痕迹鉴定专家的电话,邀请一起吃晚饭,才突然想起早几天的约定。我如约去了星沙的某饭店。到的时候已经有几位电视台的朋友在场了,但我只喝了点王老吉,主要是陪大家一起聊天,期间再次谈到了痕迹鉴定,大家决定了马上『行动』,饭后我们去了某公司进行现场 PK。

  因为 PDF 文档可能是图像的也可能是文本的,可能是加密的也可能没有加密,各自修改的难度有所不同。于是我们约定的规则如下:

  1、随机抽取一篇 PDF 文档修改,这次我们抽取的是某光盘中的一篇,因内容与过程关系不大,这里就不介绍了。光盘中只有一个文件夹,文件夹中只有这篇文章和另外一 TXT 文档。

  2、不给这位痕迹鉴定专家提供这篇文章的原始档(但如果他通过其他途径获得则不在此限),他单纯对我修改的文档要判别这篇文章是否被修改,如被修改,修改了何处。

  我抽到的这篇是文本的,但进行了加密,于是我进行了以下步骤:

  1、登录到我的网站下载 PDF 解密工具,将该 PDF 文档从光盘拷贝至硬盘并运行这一工具解密。

  2、对加密文档和解密文档逐字比较,然后用我自己制作的一个工具对密码进行破解,因为破解要一定的时间,我就先将破解后的文档复制了一份,作修改用。寻找密码这个工作可与修改同步进行。

  3、使用 PDF EDITOR 对解密后的文档进行修改,但这时遇到了一点点小问题,因为按预定的内容,需要加入的『长沙』两字文档内嵌的字库中没有,开始准备用图片替换,但尝试后发现痕迹较明显,于是决定仿造原有字体,先找出所有的内嵌字体,在网上搜索出这些字体并安装在系统中,然后用专门的方法将该 PDF 文档分解为原始的不嵌入字体形式,完成修改后再嵌入字体。

  备注:这一工作是很复杂的,花费的时间也很久。如果是一般的修改,可以用类似的系统字体替换,即删除原有文字,再插入文本,所插入的文本用 Windows 系统字体,用类似字体代替即可。因考虑到这次是和痕迹鉴定专家 PK,任何疏忽都可能留下破绽,呵呵,所以常说细节决定成败嘛。

  4、修改完成,稍等片刻后,那边解密工作也完成了,于是用解密后得到的密码对文件重新进行了加密。

  5、修改完成后,突然发现一个问题,就是文章的日期。首先我们找到光盘中原始文档对应的文件夹日期,修改系统时间并在本地建立同名的文件夹,然后将修改后的文件和那个 TXT 文件拷贝到该文件夹。

  6、在我的网站上找到我制作的一个小工具,专门用于修改文件时间的,将两个文档时间按要求修改。所谓的按要求,就是和光盘中文件的创建和修改时间一致。

  7、分析原光盘,知道它是使用 NERO 刻录的,找到了一张和原版光盘一样的刻录盘,下载了同版本的 NERO 进行刻录,刻录时,完全仿照了原光盘的信息(包括刻录时间等)。

  8、扫描原光盘的封面,用 PS 进行修改。用光盘打印机打印封面。

  经过上述过程后,大家才请出这位痕迹鉴定专家来对这篇文章进行鉴定。虽然这次仿真程度非常高,凭肉眼和常规的方法,专家多次检查后并没有发现修改痕迹,但专家也指出,还是有其他办法对其进行判定的,如知道文件的名字后,可以通过互联网搜索到本文件的原文,互联网搜索不到的,也可通过特有的途径获得原文件。得到原文件后可对两个文件进行逐字节的比较,就能发现被修改的地方……。

  总之,这次的修改算是 OK 了,应该说蒙蔽普通人已经足够,但要应对痕迹鉴定专业人员,还有很多工作需要做,如我突发奇想的一个方法就是,可以把这个修改后的文件在互联网广为传播,这样的话,专业人员搜索到后就会以为我们这个才是原文件了,哈哈。

欢迎留下宝贵意见和建议!