Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows, анализу документов PDF и внедрению туда вредоносных файлов, в также как автор опенсорсных утилит Didier Stevens Suite: это 140 программ для системных операций с файлами, процессами, реестром и прочими штуками. Например, диспетчер задач Windows, реализованный в Excel/VBA (на КДПВ).
▍ Карьера
Как сказано в профиле на LinkedIn Дидье Стивенс «начал программировать более 40 лет назад и не собирается останавливаться». С 80-х годов увлекался хакерскими штучками, а именно реверс-инжинирингом вредоносного ПО. По сути, он занимается этим по сей день. Если у вас есть интересный образец, можете отправлять ему на почту.
Официальная карьера Дидье началась в 1991 году с бельгийского провайдера Belgacom, затем были Euroclear и IP Globalnet, с 2000-го по 2016-й гг работал консультантом по безопасности в Microsoft, сначала внештатно, а затем в роли Microsoft MVP по безопасности пользователей.
В 2012 году основал компанию Didier Stevens Labs, которая до сих пор активна. Вероятно, с этого юрлица он оказывает консультационные услуги по цене в несколько раз выше, чем платят физлицу-контрактнику. Как говорится, у каждого хорошего программиста должна быть своя фирма для таких случаев.
В последние годы ведёт частный бизнес, занимая при этом должности старшего обработчика (senior handler) в Центре интернет-угроз (Internet Storm Center, ISC) технологического института SANS и старшего аналитика в компании NVISO, которая занимается вопросами информационной безопасности и защиты от кибератак.
Ведёт блог по вопросам инфобеза.
▍ Проекты
Специалисты по информационной безопасности могли встречать упоминание опенсорсных утилит Didier Stevens Suite, который содержит 140 маленьких программ. Вот некоторые:
- Ariad: инструмент (драйвер) для блокировки исполнения кода после установки USB-флэшки в порт,
- base64dump: извлечение из файла строк base64,
- BinaryTools: простые инструменты для бинарных операций:
reverse(инвертирует файл) иmiddle(извлечение последовательности), - bpmtk: набор инструментов для манипулирования основными процессами,
- BruteForceEnigma: программа для брутфорса шифров Enigma,
- cipher-tool: кодирование и декодирование текстов простыми шифрами,
- cmd-dll: преобразование
cmd.exe(ReactOS) в dll, - CounterHeapSpray: инструмент для обеспечения безопасности процессов: отслеживает использование памяти приложением для защиты от heap spraying,
- CreateCertGUI: генерация собственного сертификата OpenSSL (GUI под Windows)
- decode-vbe: декодирование файлов VBE,
- decompress_rtf: инструмент для декомпрессии сжатых RTF,
- disitool: инструмент для работы с цифровыми подписями исполняемых файлов Windows,
- emldump: анализ файлов MIME,
- extractscripts: извлечение каждого скрипта из файла HTML в отдельный файл,
- file-magic: обёртка для файла (libmagic),
- file2vbscript: внедрение исполняемого кода в скрипт vbscript,
- FileScanner: сканирование файлов на определённые паттерны,
- find-file-in-file: проверка на наличие вложенных файлов внутри файла,
- HeapLocker: инструмент для обеспечения безопасности процессов, похож на EMET, но с открытым кодом (против атак типа heap spraying),
- InstalledPrograms: электронная таблица со списком установленных программ из
HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall
- InteractiveSieve: GUI-инструмент для анализа файлов с отображением результата в табличной форме, полезен для тех случаев, когда вы точно не знаете, что ищете
- jpegdump: инструмент для анализа файлов JPEG,
- js-unicode-escape и js-unicode-unescape: скрипты к редактору 010 Editor для преобразования байтов в строку Unicode для JavaScript и обратно,
- keihash: вычисление хеша SSH Key Exchange Init (KEI),
- ListModules: анализ цифровой подписи всех исполняемых файлов в процессах,
- LockIfNotHot: автоматическая блокировка компьютера Windows, когда пользователь отходит от него, на основании данных инфракрасного температурного сенсора
- lookup-tools: инструменты для резолвинга хостов и IP-адресов
- make-pdf: набор программ Python для генерации всех видов PDF-файлов, часть набора инструментов PDF Tools
- msoffcrypto-crack: взлом пароля MS Office,
- my-shellcode: коллекция шеллкода, написанного вручную на ассемблере nasm (в основном), примеры здесь,
- NAFT: набор инструментов для экспертизы сетевых приложений (Network Appliance Forensic Toolkit)
- NetworkMashup: сетевые утилиты (пинг, DNS), написанные в Excel/VBA
- oledump: анализ OLE-файлов
- pdf-parser: программа для анализа PDF
- psurveil: использование телефона Nokia N800 в качестве камеры наблюдения (фотосъёмка через заданный интервал времени); хотя такими телефонами никто не пользуется, но интересна сама идея использовать старый ненужный смартфон в качестве камеры наблюдения или видеоняни, чтобы не выбрасывать зря технику, которая ещё может пригодиться в хозяйстве
- rtfdump: анализ файлов RTF,
- RTStego: стеганография по радужным таблицам,
- SendtoCLI: GUI для консольных команд,
- shellcode2vba и shellcode2vbscript: преобразование шеллкода в VBA и VBScript,
- ShellCodeMemoryModule: генерирует шеллкод, загружаемый в память DLL,
- simple-shellcode-generator: программа на Python для генерации 32-битного шеллкода (ассемблерного кода),
- TaskManager: диспетчер задач Windows на Excel/VBA
- translate: питоновский скрипт для выполнения побитовых операций над файлами (таких как XOR, ROL/ROR и др.),
- ultraedit_scripts: коллекция скриптов для редактора UltraEdit,
- UndeletableSafebootKey: инструмент для генерации в реестре неудаляемого ключа Safeboot (защищённый режим загрузки),
- virtualwill: HTML-программа (страница) для хранения вашего завещания, с AES-шифрованием
- virustotal-submit: отправка файлов для сканирования в VirusTotal,
- vs: программа Python для использования IP-камер в качестве видеокамер наблюдения: фотосъёмка через заданные интервалы и автоматический запуск указанной программы (например, для сравнения нового кадра с предыдущим на предмет значительных отличий),
- what-is-new: утилита для выявления новых элементов в списке:
- wsrradial: инструмент для построения радиального графика WiFi-сигнала по данным с анализатора Wi-Spy (сейчас называется Chanalyzer), который помогает выявить помехи и избыточную плотность в спектре 2,4 и 5 ГГц
Chanalyzer - XORSearch и XORStrings: поиск заданной строки в файлах, которые обработаны с помощью XOR, ROL, ROT, SHIFT и др.
- ZIPEncryptFTP: программа для резервного копирования: архивирует заданные папки, шифрует архив и копирует его по FTP куда задано,
Всё это богатство можно скачать одним архивом. Может быть, кто-то найдёт там полезное для себя.
▍ Разбор и взлом PDF
Дидье Стивенс — известный специалист по формату PDF, а именно по его уязвимостям и недокументированным функциям. Этому посвящена его единственная научная статья «Разъяснение вредоносных PDF-документов» в журнале IEEE Security & Privacy (2011, Volume: 9, Issue: 1, DOI: 10.1109/MSP.2011.14).
Среди всех его программ самым популярным является набор утилит PDF Tools, который включает в том числе консольный pdf-parser.py для удобного разбора файлов, в том числе зашифрованных:
Для примера, на одном из вебинаров (для начинающих) Дидье показывал, как внутри PDF-документа поместить DOCX, который скачивает RTF, который запускает вредоносный шеллкод. Получается такой «многослойный» вирусный документ.
В его блоге были посты о том, как скрывать следы файлов, спрятанных внутри PDF, как запускать их на исполнение, целая серия статей по взлому запароленных PDF, включая восстановление пароля, восстановление ключа и расшифровку документа (1, 2, 3, 4) с помощью программы Advanced PDF Password Recovery от российской чешской компании «Элкомсофт» и своим собственным методом.
В другом посте он рассказывает, как грамотно повредить PDF (оказывается, некоторые «бизнесмены» в интернете реально продавали повреждённые документы Word студентам и офисным сотрудникам, которые хотят купить реалистичную «отмазку» за несделанную в срок работу). Благодаря Стивенсу можно повредить свой PDF совершенно бесплатно: после замены пары байт файл не открывается ни в одном редакторе (из тех, что были проверены).
Пример бельгийского разработчика показывает, что карьера успешного профессионала может стартовать с невинных хакерских шалостей. По мере роста мастерства и серьёзного отношения к делу ты превращаешься в «ведущего специалиста по информационной безопасности», которого нанимают для консультаций ведущие корпорации и приглашают выступать на конференциях.
- Джастин Танни
- Джей Фриман (saurik)
- Михал Залевски
- Джон Кармак: 1, 2
- Марк Руссинович
- Юрки Алакуйяла
- Андрей Карпаты
- Даниэль Стенберг, автор curl
- Колин Персиваль, автор tarsnap
- Джефф Дин
- antirez, автор СУБД Redis
- Оскар Толедо: потомственный волшебник
- Ральф Меркл: криптограф, крионик и теоретик молекулярной инженерии
- Чем сейчас занимается Фабрис Беллар
- Мигель де Икаса и его мечта — Linux на десктопах
- Давид Хейнемейер Ханссон (DHH): автор Ruby on Rails
- Карсон Гросс, создатель HTMX
- Клеман Лефевр, создатель Linux Mint
- Андреас Клинг, его операционная система SerenityOS и браузер Ladybird
- Джеффри Сновер и создание PowerShell
- Реймонд Хилл и его блокировщик uBlock Origin
- Ричард Столлман, автор GCC и Emacs
- Дрю ДеВолт — автор языка Hare и платформы кодохостинга SourceHut
© 2025 ООО «МТ ФИНАНС»
Автор: alizar
