Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows, анализу документов PDF и внедрению туда вредоносных файлов, а также как автор опенсорсных утилит Didier Stevens Suite: это 140 программ для системных операций с файлами, процессами, реестром и прочими штуками. Например, диспетчер задач Windows, реализованный в Excel/VBA (на КДПВ).

▍ Карьера


Как сказано в профиле на LinkedIn Дидье Стивенс «начал программировать более 40 лет назад и не собирается останавливаться». С 80-х годов увлекался хакерскими штучками, а именно реверс-инжинирингом вредоносного ПО. По сути, он занимается этим по сей день. Если у вас есть интересный образец, можете отправлять ему на почту.

Официальная карьера Дидье началась в 1991 году с бельгийского провайдера Belgacom, затем были Euroclear и IP Globalnet, с 2000-го по 2016-й гг работал консультантом по безопасности в Microsoft, сначала внештатно, а затем в роли Microsoft MVP по безопасности пользователей.

В 2012 году основал компанию Didier Stevens Labs, которая до сих пор активна. Вероятно, с этого юрлица он оказывает консультационные услуги по цене в несколько раз выше, чем платят физлицу-контрактнику. Как говорится, у каждого хорошего программиста должна быть своя фирма для таких случаев.

В последние годы ведёт частный бизнес, занимая при этом должности старшего обработчика (senior handler) в Центре интернет-угроз (Internet Storm Center, ISC) технологического института SANS и старшего аналитика в компании NVISO, которая занимается вопросами информационной безопасности и защиты от кибератак.


Ведёт блог по вопросам инфобеза.

▍ Проекты


Специалисты по информационной безопасности могли встречать упоминание опенсорсных утилит Didier Stevens Suite, который содержит 140 маленьких программ. Вот некоторые:

  • Ariad: инструмент (драйвер) для блокировки исполнения кода после установки USB-флэшки в порт,
  • base64dump: извлечение из файла строк base64,
  • BinaryTools: простые инструменты для бинарных операций: reverse (инвертирует файл) и middle (извлечение последовательности),
  • bpmtk: набор инструментов для манипулирования основными процессами,
  • BruteForceEnigma: программа для брутфорса шифров Enigma,
  • cipher-tool: кодирование и декодирование текстов простыми шифрами,
  • cmd-dll: преобразование cmd.exe (ReactOS) в dll,
  • CounterHeapSpray: инструмент для обеспечения безопасности процессов: отслеживает использование памяти приложением для защиты от heap spraying,
  • CreateCertGUI: генерация собственного сертификата OpenSSL (GUI под Windows)


  • decode-vbe: декодирование файлов VBE,
  • decompress_rtf: инструмент для декомпрессии сжатых RTF,
  • disitool: инструмент для работы с цифровыми подписями исполняемых файлов Windows,
  • emldump: анализ файлов MIME,
  • extractscripts: извлечение каждого скрипта из файла HTML в отдельный файл,
  • file-magic: обёртка для файла (libmagic),
  • file2vbscript: внедрение исполняемого кода в скрипт vbscript,
  • FileScanner: сканирование файлов на определённые паттерны,
  • find-file-in-file: проверка на наличие вложенных файлов внутри файла,
  • HeapLocker: инструмент для обеспечения безопасности процессов, похож на EMET, но с открытым кодом (против атак типа heap spraying),
  • InstalledPrograms: электронная таблица со списком установленных программ из HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall



  • InteractiveSieve: GUI-инструмент для анализа файлов с отображением результата в табличной форме, полезен для тех случаев, когда вы точно не знаете, что ищете



  • jpegdump: инструмент для анализа файлов JPEG,
  • js-unicode-escape и js-unicode-unescape: скрипты к редактору 010 Editor для преобразования байтов в строку Unicode для JavaScript и обратно,
  • keihash: вычисление хеша SSH Key Exchange Init (KEI),
  • ListModules: анализ цифровой подписи всех исполняемых файлов в процессах,
  • LockIfNotHot: автоматическая блокировка компьютера Windows, когда пользователь отходит от него, на основании данных инфракрасного температурного сенсора

  • lookup-tools: инструменты для резолвинга хостов и IP-адресов
  • make-pdf: набор программ Python для генерации всех видов PDF-файлов, часть набора инструментов PDF Tools


  • msoffcrypto-crack: взлом пароля MS Office,
  • my-shellcode: коллекция шеллкода, написанного вручную на ассемблере nasm (в основном), примеры здесь,
  • NAFT: набор инструментов для экспертизы сетевых приложений (Network Appliance Forensic Toolkit)

  • NetworkMashup: сетевые утилиты (пинг, DNS), написанные в Excel/VBA


  • oledump: анализ OLE-файлов
  • pdf-parser: программа для анализа PDF

  • psurveil: использование телефона Nokia N800 в качестве камеры наблюдения (фотосъёмка через заданный интервал времени); хотя такими телефонами никто не пользуется, но интересна сама идея использовать старый ненужный смартфон в качестве камеры наблюдения или видеоняни, чтобы не выбрасывать зря технику, которая ещё может пригодиться в хозяйстве



  • rtfdump: анализ файлов RTF,
  • RTStego: стеганография по радужным таблицам,
  • SendtoCLI: GUI для консольных команд,
  • shellcode2vba и shellcode2vbscript: преобразование шеллкода в VBA и VBScript,
  • ShellCodeMemoryModule: генерирует шеллкод, загружаемый в память DLL,
  • simple-shellcode-generator: программа на Python для генерации 32-битного шеллкода (ассемблерного кода),
  • TaskManager: диспетчер задач Windows на Excel/VBA



  • translate: питоновский скрипт для выполнения побитовых операций над файлами (таких как XOR, ROL/ROR и др.),
  • ultraedit_scripts: коллекция скриптов для редактора UltraEdit,
  • UndeletableSafebootKey: инструмент для генерации в реестре неудаляемого ключа Safeboot (защищённый режим загрузки),
  • virtualwill: HTML-программа (страница) для хранения вашего завещания, с AES-шифрованием


  • virustotal-submit: отправка файлов для сканирования в VirusTotal,
  • vs: программа Python для использования IP-камер в качестве видеокамер наблюдения: фотосъёмка через заданные интервалы и автоматический запуск указанной программы (например, для сравнения нового кадра с предыдущим на предмет значительных отличий),
  • what-is-new: утилита для выявления новых элементов в списке:


  • wsrradial: инструмент для построения радиального графика WiFi-сигнала по данным с анализатора Wi-Spy (сейчас называется Chanalyzer), который помогает выявить помехи и избыточную плотность в спектре 2,4 и 5 ГГц


    Chanalyzer

  • XORSearch и XORStrings: поиск заданной строки в файлах, которые обработаны с помощью XOR, ROL, ROT, SHIFT и др.
  • ZIPEncryptFTP: программа для резервного копирования: архивирует заданные папки, шифрует архив и копирует его по FTP куда задано,

Всё это богатство можно скачать одним архивом. Может быть, кто-то найдёт там полезное для себя.

▍ Разбор и взлом PDF


Дидье Стивенс — известный специалист по формату PDF, а именно по его уязвимостям и недокументированным функциям. Этому посвящена его единственная научная статья «Разъяснение вредоносных PDF-документов» в журнале IEEE Security & Privacy (2011, Volume: 9, Issue: 1, DOI: 10.1109/MSP.2011.14).

Среди всех его программ самым популярным является набор утилит PDF Tools, который включает в том числе консольный pdf-parser.py для удобного разбора файлов, в том числе зашифрованных:



Для примера, на одном из вебинаров (для начинающих) Дидье показывал, как внутри PDF-документа поместить DOCX, который скачивает RTF, который запускает вредоносный шеллкод. Получается такой «многослойный» вирусный документ.

В его блоге были посты о том, как скрывать следы файлов, спрятанных внутри PDF, как запускать их на исполнение, целая серия статей по взлому запароленных PDF, включая восстановление пароля, восстановление ключа и расшифровку документа (1, 2, 3, 4) с помощью программы Advanced PDF Password Recovery от российской чешской компании «Элкомсофт» и своим собственным методом.


В другом посте он рассказывает, как грамотно повредить PDF (оказывается, некоторые «бизнесмены» в интернете реально продавали повреждённые документы Word студентам и офисным сотрудникам, которые хотят купить реалистичную «отмазку» за несделанную в срок работу). Благодаря Стивенсу можно повредить свой PDF совершенно бесплатно: после замены пары байт файл не открывается ни в одном редакторе (из тех, что были проверены).



Пример бельгийского разработчика показывает, что карьера успешного профессионала может стартовать с невинных хакерских шалостей. По мере роста мастерства и серьёзного отношения к делу ты превращаешься в «ведущего специалиста по информационной безопасности», которого нанимают для консультаций ведущие корпорации и приглашают выступать на конференциях.


© 2025 ООО «МТ ФИНАНС»

Telegram-канал со скидками, розыгрышами призов и новостями IT ?

Комментарии (1)


  1. igrblkv
    06.01.2025 10:58

    NetworkMashup: сетевые утилиты (пинг, DNS), написанные в Excel/VBA

    На 64-битных не работает, а так прикольная вещь, можно сразу проверять доступность.