Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows, анализу документов PDF и внедрению туда вредоносных файлов, а также как автор опенсорсных утилит Didier Stevens Suite: это 140 программ для системных операций с файлами, процессами, реестром и прочими штуками. Например, диспетчер задач Windows, реализованный в Excel/VBA (на КДПВ).
▍ Карьера
Как сказано в профиле на LinkedIn Дидье Стивенс «начал программировать более 40 лет назад и не собирается останавливаться». С 80-х годов увлекался хакерскими штучками, а именно реверс-инжинирингом вредоносного ПО. По сути, он занимается этим по сей день. Если у вас есть интересный образец, можете отправлять ему на почту.
Официальная карьера Дидье началась в 1991 году с бельгийского провайдера Belgacom, затем были Euroclear и IP Globalnet, с 2000-го по 2016-й гг работал консультантом по безопасности в Microsoft, сначала внештатно, а затем в роли Microsoft MVP по безопасности пользователей.
В 2012 году основал компанию Didier Stevens Labs, которая до сих пор активна. Вероятно, с этого юрлица он оказывает консультационные услуги по цене в несколько раз выше, чем платят физлицу-контрактнику. Как говорится, у каждого хорошего программиста должна быть своя фирма для таких случаев.
В последние годы ведёт частный бизнес, занимая при этом должности старшего обработчика (senior handler) в Центре интернет-угроз (Internet Storm Center, ISC) технологического института SANS и старшего аналитика в компании NVISO, которая занимается вопросами информационной безопасности и защиты от кибератак.
Ведёт блог по вопросам инфобеза.
▍ Проекты
Специалисты по информационной безопасности могли встречать упоминание опенсорсных утилит Didier Stevens Suite, который содержит 140 маленьких программ. Вот некоторые:
-
Ariad: инструмент (драйвер) для блокировки исполнения кода после установки USB-флэшки в порт,
-
base64dump: извлечение из файла строк base64,
-
BinaryTools: простые инструменты для бинарных операций:
reverse
(инвертирует файл) иmiddle
(извлечение последовательности),
-
bpmtk: набор инструментов для манипулирования основными процессами,
-
BruteForceEnigma: программа для брутфорса шифров Enigma,
-
cipher-tool: кодирование и декодирование текстов простыми шифрами,
-
cmd-dll: преобразование
cmd.exe
(ReactOS) в dll,
-
CounterHeapSpray: инструмент для обеспечения безопасности процессов: отслеживает использование памяти приложением для защиты от heap spraying,
-
CreateCertGUI: генерация собственного сертификата OpenSSL (GUI под Windows)
-
decode-vbe: декодирование файлов VBE,
-
decompress_rtf: инструмент для декомпрессии сжатых RTF,
-
disitool: инструмент для работы с цифровыми подписями исполняемых файлов Windows,
-
emldump: анализ файлов MIME,
-
extractscripts: извлечение каждого скрипта из файла HTML в отдельный файл,
-
file-magic: обёртка для файла (libmagic),
-
file2vbscript: внедрение исполняемого кода в скрипт vbscript,
-
FileScanner: сканирование файлов на определённые паттерны,
-
find-file-in-file: проверка на наличие вложенных файлов внутри файла,
-
HeapLocker: инструмент для обеспечения безопасности процессов, похож на EMET, но с открытым кодом (против атак типа heap spraying),
-
InstalledPrograms: электронная таблица со списком установленных программ из
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
-
InteractiveSieve: GUI-инструмент для анализа файлов с отображением результата в табличной форме, полезен для тех случаев, когда вы точно не знаете, что ищете
-
jpegdump: инструмент для анализа файлов JPEG,
-
js-unicode-escape и js-unicode-unescape: скрипты к редактору 010 Editor для преобразования байтов в строку Unicode для JavaScript и обратно,
-
keihash: вычисление хеша SSH Key Exchange Init (KEI),
-
ListModules: анализ цифровой подписи всех исполняемых файлов в процессах,
-
LockIfNotHot: автоматическая блокировка компьютера Windows, когда пользователь отходит от него, на основании данных инфракрасного температурного сенсора
-
lookup-tools: инструменты для резолвинга хостов и IP-адресов
-
make-pdf: набор программ Python для генерации всех видов PDF-файлов, часть набора инструментов PDF Tools
-
msoffcrypto-crack: взлом пароля MS Office,
-
my-shellcode: коллекция шеллкода, написанного вручную на ассемблере nasm (в основном), примеры здесь,
-
NAFT: набор инструментов для экспертизы сетевых приложений (Network Appliance Forensic Toolkit)
-
NetworkMashup: сетевые утилиты (пинг, DNS), написанные в Excel/VBA
-
oledump: анализ OLE-файлов
-
pdf-parser: программа для анализа PDF
-
psurveil: использование телефона Nokia N800 в качестве камеры наблюдения (фотосъёмка через заданный интервал времени); хотя такими телефонами никто не пользуется, но интересна сама идея использовать старый ненужный смартфон в качестве камеры наблюдения или видеоняни, чтобы не выбрасывать зря технику, которая ещё может пригодиться в хозяйстве
-
rtfdump: анализ файлов RTF,
-
RTStego: стеганография по радужным таблицам,
-
SendtoCLI: GUI для консольных команд,
-
shellcode2vba и shellcode2vbscript: преобразование шеллкода в VBA и VBScript,
-
ShellCodeMemoryModule: генерирует шеллкод, загружаемый в память DLL,
-
simple-shellcode-generator: программа на Python для генерации 32-битного шеллкода (ассемблерного кода),
-
TaskManager: диспетчер задач Windows на Excel/VBA
-
translate: питоновский скрипт для выполнения побитовых операций над файлами (таких как XOR, ROL/ROR и др.),
-
ultraedit_scripts: коллекция скриптов для редактора UltraEdit,
-
UndeletableSafebootKey: инструмент для генерации в реестре неудаляемого ключа Safeboot (защищённый режим загрузки),
-
virtualwill: HTML-программа (страница) для хранения вашего завещания, с AES-шифрованием
-
virustotal-submit: отправка файлов для сканирования в VirusTotal,
-
vs: программа Python для использования IP-камер в качестве видеокамер наблюдения: фотосъёмка через заданные интервалы и автоматический запуск указанной программы (например, для сравнения нового кадра с предыдущим на предмет значительных отличий),
-
what-is-new: утилита для выявления новых элементов в списке:
-
wsrradial: инструмент для построения радиального графика WiFi-сигнала по данным с анализатора Wi-Spy (сейчас называется Chanalyzer), который помогает выявить помехи и избыточную плотность в спектре 2,4 и 5 ГГц
Chanalyzer
-
XORSearch и XORStrings: поиск заданной строки в файлах, которые обработаны с помощью XOR, ROL, ROT, SHIFT и др.
- ZIPEncryptFTP: программа для резервного копирования: архивирует заданные папки, шифрует архив и копирует его по FTP куда задано,
Всё это богатство можно скачать одним архивом. Может быть, кто-то найдёт там полезное для себя.
▍ Разбор и взлом PDF
Дидье Стивенс — известный специалист по формату PDF, а именно по его уязвимостям и недокументированным функциям. Этому посвящена его единственная научная статья «Разъяснение вредоносных PDF-документов» в журнале IEEE Security & Privacy (2011, Volume: 9, Issue: 1, DOI: 10.1109/MSP.2011.14).
Среди всех его программ самым популярным является набор утилит PDF Tools, который включает в том числе консольный
pdf-parser.py
для удобного разбора файлов, в том числе зашифрованных:Для примера, на одном из вебинаров (для начинающих) Дидье показывал, как внутри PDF-документа поместить DOCX, который скачивает RTF, который запускает вредоносный шеллкод. Получается такой «многослойный» вирусный документ.
В его блоге были посты о том, как скрывать следы файлов, спрятанных внутри PDF, как запускать их на исполнение, целая серия статей по взлому запароленных PDF, включая восстановление пароля, восстановление ключа и расшифровку документа (1, 2, 3, 4) с помощью программы Advanced PDF Password Recovery от
В другом посте он рассказывает, как грамотно повредить PDF (оказывается, некоторые «бизнесмены» в интернете реально продавали повреждённые документы Word студентам и офисным сотрудникам, которые хотят купить реалистичную «отмазку» за несделанную в срок работу). Благодаря Стивенсу можно повредить свой PDF совершенно бесплатно: после замены пары байт файл не открывается ни в одном редакторе (из тех, что были проверены).
Пример бельгийского разработчика показывает, что карьера успешного профессионала может стартовать с невинных хакерских шалостей. По мере роста мастерства и серьёзного отношения к делу ты превращаешься в «ведущего специалиста по информационной безопасности», которого нанимают для консультаций ведущие корпорации и приглашают выступать на конференциях.
Выдающиеся программисты 21 века. Предыдущие статьи
-
Джастин Танни
-
Джей Фриман (saurik)
-
Михал Залевски
- Джон Кармак: 1, 2
-
Марк Руссинович
-
Юрки Алакуйяла
-
Андрей Карпаты
-
Даниэль Стенберг, автор curl
-
Колин Персиваль, автор tarsnap
-
Джефф Дин
-
antirez, автор СУБД Redis
-
Оскар Толедо: потомственный волшебник
-
Ральф Меркл: криптограф, крионик и теоретик молекулярной инженерии
-
Чем сейчас занимается Фабрис Беллар
-
Мигель де Икаса и его мечта — Linux на десктопах
-
Давид Хейнемейер Ханссон (DHH): автор Ruby on Rails
-
Карсон Гросс, создатель HTMX
-
Клеман Лефевр, создатель Linux Mint
-
Андреас Клинг, его операционная система SerenityOS и браузер Ladybird
-
Джеффри Сновер и создание PowerShell
-
Реймонд Хилл и его блокировщик uBlock Origin
-
Ричард Столлман, автор GCC и Emacs
- Дрю ДеВолт — автор языка Hare и платформы кодохостинга SourceHut
© 2025 ООО «МТ ФИНАНС»
Telegram-канал со скидками, розыгрышами призов и новостями IT ?
igrblkv
На 64-битных не работает, а так прикольная вещь, можно сразу проверять доступность.