Хакерские утилиты Дидье Стивенса

^[1]

Дидье Стивенс ^[2] — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows ^[3], анализу документов PDF ^[4] и внедрению туда вредоносных файлов ^[5], в также как автор опенсорсных утилит Didier Stevens Suite ^[6]: это 140 программ для системных операций с файлами, процессами, реестром и прочими штуками. Например, диспетчер задач Windows, реализованный в Excel/VBA (на КДПВ).

▍ Карьера

Как сказано в профиле на LinkedIn ^[7] Дидье Стивенс «начал программировать более 40 лет назад и не собирается останавливаться». С 80-х годов увлекался хакерскими штучками, а именно реверс-инжинирингом вредоносного ПО. По сути, он занимается этим по сей день. Если у вас есть интересный образец, можете отправлять ему на почту.

Официальная карьера Дидье началась в 1991 году с бельгийского провайдера Belgacom, затем были Euroclear и IP Globalnet, с 2000-го по 2016-й гг работал консультантом по безопасности в Microsoft, сначала внештатно, а затем в роли Microsoft MVP по безопасности пользователей.

В 2012 году основал компанию Didier Stevens Labs, которая до сих пор активна. Вероятно, с этого юрлица он оказывает консультационные услуги по цене в несколько раз выше, чем платят физлицу-контрактнику. Как говорится, у каждого хорошего программиста должна быть своя фирма для таких случаев.

В последние годы ведёт частный бизнес, занимая при этом должности старшего обработчика (senior handler) в Центре интернет-угроз (Internet Storm Center, ISC) технологического института SANS и старшего аналитика в компании NVISO ^[8], которая занимается вопросами информационной безопасности и защиты от кибератак.

Ведёт блог ^[9] по вопросам инфобеза.

▍ Проекты

Специалисты по информационной безопасности могли встречать упоминание опенсорсных утилит Didier Stevens Suite ^[6], который содержит 140 маленьких программ. Вот некоторые:

• Ariad ^[10]: инструмент (драйвер) для блокировки исполнения кода после установки USB-флэшки в порт,
• base64dump ^[11]: извлечение из файла строк base64,
• BinaryTools ^[12]: простые инструменты для бинарных операций: reverse (инвертирует файл) и middle (извлечение последовательности),
• bpmtk ^[13]: набор инструментов для манипулирования основными процессами,
• BruteForceEnigma ^[14]: программа для брутфорса шифров Enigma ^[15],
• cipher-tool ^[16]: кодирование и декодирование текстов простыми шифрами,
• cmd-dll ^[17]: преобразование cmd.exe (ReactOS) в dll,
• CounterHeapSpray ^[18]: инструмент для обеспечения безопасности процессов: отслеживает использование памяти приложением для защиты от heap spraying,
• CreateCertGUI ^[19]: генерация собственного сертификата OpenSSL (GUI под Windows)
  

• decode-vbe ^[20]: декодирование файлов VBE,
• decompress_rtf ^[21]: инструмент для декомпрессии сжатых RTF,
• disitool ^[22]: инструмент для работы с цифровыми подписями исполняемых файлов Windows,
• emldump ^[23]: анализ файлов MIME,
• extractscripts ^[24]: извлечение каждого скрипта из файла HTML в отдельный файл,
• file-magic ^[25]: обёртка для файла (libmagic),
• file2vbscript ^[26]: внедрение исполняемого кода в скрипт vbscript,
• FileScanner ^[27]: сканирование файлов на определённые паттерны,
• find-file-in-file ^[28]: проверка на наличие вложенных файлов внутри файла,
• HeapLocker ^[29]: инструмент для обеспечения безопасности процессов, похож на EMET, но с открытым кодом (против атак типа heap spraying),
• InstalledPrograms ^[30]: электронная таблица со списком установленных программ из HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall

  

• InteractiveSieve ^[31]: GUI-инструмент для анализа файлов с отображением результата в табличной форме, полезен для тех случаев, когда вы точно не знаете, что ищете

  

• jpegdump ^[32]: инструмент для анализа файлов JPEG,
• js-unicode-escape ^[33] и js-unicode-unescape ^[34]: скрипты к редактору 010 Editor для преобразования байтов в строку Unicode для JavaScript и обратно,
• keihash ^[35]: вычисление хеша SSH Key Exchange Init (KEI),
• ListModules ^[36]: анализ цифровой подписи всех исполняемых файлов в процессах,
• LockIfNotHot ^[37]: автоматическая блокировка компьютера Windows, когда пользователь отходит от него, на основании данных инфракрасного температурного сенсора ^[38]
• lookup-tools ^[39]: инструменты для резолвинга хостов и IP-адресов
• make-pdf ^[40]: набор программ Python для генерации всех видов PDF-файлов, часть набора инструментов PDF Tools ^[4]
  

• msoffcrypto-crack ^[41]: взлом пароля MS Office,
• my-shellcode ^[42]: коллекция шеллкода, написанного вручную на ассемблере nasm ^[43] (в основном), примеры здесь ^[44],
• NAFT ^[45]: набор инструментов для экспертизы сетевых приложений (Network Appliance Forensic Toolkit)
• NetworkMashup ^[46]: сетевые утилиты (пинг, DNS), написанные в Excel/VBA
  

• oledump ^[47]: анализ OLE-файлов
• pdf-parser ^[48]: программа для анализа PDF
• psurveil ^[49]: использование телефона Nokia N800 в качестве камеры наблюдения (фотосъёмка через заданный интервал времени); хотя такими телефонами никто не пользуется, но интересна сама идея использовать старый ненужный смартфон в качестве камеры наблюдения или видеоняни, чтобы не выбрасывать зря технику, которая ещё может пригодиться в хозяйстве

  

• rtfdump ^[50]: анализ файлов RTF,
• RTStego ^[51]: стеганография по радужным таблицам,
• SendtoCLI ^[52]: GUI для консольных команд,
• shellcode2vba ^[53] и shellcode2vbscript ^[54]: преобразование шеллкода в VBA и VBScript,
• ShellCodeMemoryModule ^[55]: генерирует шеллкод, загружаемый в память DLL,
• simple-shellcode-generator ^[56]: программа на Python для генерации 32-битного шеллкода (ассемблерного кода),
• TaskManager ^[57]: диспетчер задач Windows на Excel/VBA

  

• translate ^[58]: питоновский скрипт для выполнения побитовых операций над файлами (таких как XOR, ROL/ROR и др.),
• ultraedit_scripts ^[59]: коллекция скриптов для редактора UltraEdit,
• UndeletableSafebootKey ^[60]: инструмент для генерации в реестре неудаляемого ключа Safeboot (защищённый режим загрузки),
• virtualwill ^[61]: HTML-программа (страница) для хранения вашего завещания, с AES-шифрованием ^[62]
  

• virustotal-submit ^[63]: отправка файлов для сканирования в VirusTotal,
• vs ^[64]: программа Python для использования IP-камер в качестве видеокамер наблюдения: фотосъёмка через заданные интервалы и автоматический запуск указанной программы (например, для сравнения нового кадра с предыдущим на предмет значительных отличий),
• what-is-new ^[65]: утилита для выявления новых элементов в списке:
  

• wsrradial ^[66]: инструмент для построения радиального графика WiFi-сигнала по данным с анализатора Wi-Spy (сейчас называется Chanalyzer ^[67]), который помогает выявить помехи и избыточную плотность в спектре 2,4 и 5 ГГц

  
  Chanalyzer

• XORSearch ^[68] и XORStrings ^[69]: поиск заданной строки в файлах, которые обработаны с помощью XOR, ROL, ROT, SHIFT и др.
• ZIPEncryptFTP ^[70]: программа для резервного копирования: архивирует заданные папки, шифрует архив и копирует его по FTP куда задано,

Всё это богатство можно скачать одним архивом ^[71]. Может быть, кто-то найдёт там полезное для себя.

▍ Разбор и взлом PDF

Дидье Стивенс — известный специалист по формату PDF, а именно по его уязвимостям и недокументированным функциям. Этому посвящена его единственная научная статья «Разъяснение вредоносных PDF-документов» ^[72] в журнале IEEE Security & Privacy (2011, Volume: 9, Issue: 1, DOI: 10.1109/MSP.2011.14).

Среди всех его программ самым популярным является набор утилит PDF Tools ^[4], который включает в том числе консольный pdf-parser.py для удобного разбора файлов, в том числе зашифрованных:

Для примера, на одном из вебинаров (для начинающих) Дидье показывал ^[73], как внутри PDF-документа поместить DOCX, который скачивает RTF, который запускает вредоносный шеллкод. Получается такой «многослойный» вирусный документ.

В его блоге были посты о том, как скрывать следы файлов, спрятанных внутри PDF ^[74], как запускать их на исполнение ^[75], целая серия статей по взлому запароленных PDF, включая восстановление пароля, восстановление ключа и расшифровку документа (1 ^[76], 2 ^[77], 3 ^[78], 4 ^[79]) с помощью программы Advanced PDF Password Recovery ^[80] от российской чешской компании «Элкомсофт» и своим собственным методом.

В другом посте он рассказывает, как грамотно повредить PDF ^[81] (оказывается, некоторые «бизнесмены» в интернете реально продавали повреждённые документы Word ^[82] студентам и офисным сотрудникам, которые хотят купить реалистичную «отмазку» за несделанную в срок работу). Благодаря Стивенсу можно повредить свой PDF совершенно бесплатно: после замены пары байт файл не открывается ни в одном редакторе (из тех, что были проверены).

---

Пример бельгийского разработчика показывает, что карьера успешного профессионала может стартовать с невинных хакерских шалостей. По мере роста мастерства и серьёзного отношения к делу ты превращаешься в «ведущего специалиста по информационной безопасности», которого нанимают для консультаций ведущие корпорации и приглашают выступать на конференциях.

Выдающиеся программисты 21 века. Предыдущие статьи

• Джастин Танни ^[83]
• Джей Фриман (saurik) ^[84]
• Михал Залевски ^[85]
• Джон Кармак: 1 ^[86], 2 ^[87]
• Марк Руссинович ^[88]
• Юрки Алакуйяла ^[89]
• Андрей Карпаты ^[90]
• Даниэль Стенберг, автор curl ^[91]
• Колин Персиваль, автор tarsnap ^[92]
• Джефф Дин ^[93]
• antirez, автор СУБД Redis ^[94]
• Оскар Толедо: потомственный волшебник ^[95]
• Ральф Меркл: криптограф, крионик и теоретик молекулярной инженерии ^[96]
• Чем сейчас занимается Фабрис Беллар ^[97]
• Мигель де Икаса и его мечта — Linux на десктопах ^[98]
• Давид Хейнемейер Ханссон (DHH): автор Ruby on Rails ^[99]
• Карсон Гросс, создатель HTMX ^[100]
• Клеман Лефевр, создатель Linux Mint ^[101]
• Андреас Клинг, его операционная система SerenityOS и браузер Ladybird ^[102]
• Джеффри Сновер и создание PowerShell ^[103]
• Реймонд Хилл и его блокировщик uBlock Origin ^[104]
• Ричард Столлман, автор GCC и Emacs ^[105]
• Дрю ДеВолт — автор языка Hare и платформы кодохостинга SourceHut ^[106]

© 2025 ООО «МТ ФИНАНС»

Автор: alizar

Источник ^[107]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/wifi/406913

Ссылки в тексте:

[1] Image: https://habr.com/ru/companies/ruvds/articles/869680/

[2] Дидье Стивенс: https://www.didierstevenslabs.com

[3] взлому паролей Windows: https://blog.didierstevens.com/2016/07/25/practice-ntds-dit-file-overview/

[4] анализу документов PDF: https://blog.didierstevens.com/programs/pdf-tools/

[5] внедрению туда вредоносных файлов: https://www.youtube.com/watch?v=F3rpZT0gKXw

[6] Didier Stevens Suite: https://github.com/DidierStevens/DidierStevensSuite

[7] профиле на LinkedIn: https://www.linkedin.com/in/didierstevens/?originalSubdomain=be

[8] NVISO: https://www.nviso.be

[9] блог: https://blog.DidierStevens.com

[10] Ariad: https://blog.didierstevens.com/my-software/#Ariad

[11] base64dump: https://blog.didierstevens.com/my-software/#base64dump

[12] BinaryTools: https://blog.didierstevens.com/my-software/#BinaryTools

[13] bpmtk: https://blog.didierstevens.com/my-software/#bpmtk

[14] BruteForceEnigma: https://blog.didierstevens.com/my-software/#BruteForceEnigma

[15] шифров Enigma: https://blog.didierstevens.com/2006/12/28/brute-forcing-enigma/

[16] cipher-tool: https://blog.didierstevens.com/my-software/#cipher-tool

[17] cmd-dll: https://blog.didierstevens.com/my-software/#cmd-dll

[18] CounterHeapSpray: https://blog.didierstevens.com/my-software/#CounterHeapSpray

[19] CreateCertGUI: https://blog.didierstevens.com/my-software/#CreateCertGUI

[20] decode-vbe: https://blog.didierstevens.com/my-software/#decode-vbe

[21] decompress_rtf: https://blog.didierstevens.com/my-software/#decompress_rtf

[22] disitool: https://blog.didierstevens.com/my-software/#disitool

[23] emldump: https://blog.didierstevens.com/my-software/#emldump

[24] extractscripts: https://blog.didierstevens.com/my-software/#extractscripts

[25] file-magic: https://blog.didierstevens.com/my-software/#file-magic

[26] file2vbscript: https://blog.didierstevens.com/my-software/#file2vbscript

[27] FileScanner: https://blog.didierstevens.com/my-software/#FileScanner

[28] find-file-in-file: https://blog.didierstevens.com/my-software/#find-file-in-file

[29] HeapLocker: https://blog.didierstevens.com/my-software/#HeapLocker

[30] InstalledPrograms: https://blog.didierstevens.com/my-software/#InstalledPrograms

[31] InteractiveSieve: https://blog.didierstevens.com/my-software/#InteractiveSieve

[32] jpegdump: https://blog.didierstevens.com/my-software/#jpegdump

[33] js-unicode-escape: https://blog.didierstevens.com/my-software/#js-unicode-escape

[34] js-unicode-unescape: https://blog.didierstevens.com/my-software/#js-unicode-unescape

[35] keihash: https://blog.didierstevens.com/my-software/#keihash

[36] ListModules: https://blog.didierstevens.com/my-software/#ListModules

[37] LockIfNotHot: https://blog.didierstevens.com/my-software/#LockIfNotHot

[38] инфракрасного температурного сенсора: https://www.phidgets.com/?prodid=1041

[39] lookup-tools: https://blog.didierstevens.com/my-software/#lookup-tools

[40] make-pdf: https://blog.didierstevens.com/my-software/#make-pdf

[41] msoffcrypto-crack: https://blog.didierstevens.com/my-software/#msoffcrypto-crack

[42] my-shellcode: https://blog.didierstevens.com/my-software/#my-shellcode

[43] nasm: http://www.nasm.us/

[44] здесь: https://blog.didierstevens.com/programs/shellcode/

[45] NAFT: https://blog.didierstevens.com/my-software/#NAFT

[46] NetworkMashup: https://blog.didierstevens.com/my-software/#NetworkMashup

[47] oledump: https://blog.didierstevens.com/my-software/#oledump

[48] pdf-parser: https://blog.didierstevens.com/my-software/#pdf-parser

[49] psurveil: https://blog.didierstevens.com/my-software/#psurveil

[50] rtfdump: https://blog.didierstevens.com/my-software/#rtfdump

[51] RTStego: https://blog.didierstevens.com/my-software/#RTStego

[52] SendtoCLI: https://blog.didierstevens.com/my-software/#SendtoCLI

[53] shellcode2vba: https://blog.didierstevens.com/my-software/#shellcode2vba

[54] shellcode2vbscript: https://blog.didierstevens.com/my-software/#shellcode2vbscript

[55] ShellCodeMemoryModule: https://blog.didierstevens.com/my-software/#ShellCodeMemoryModule

[56] simple-shellcode-generator: https://blog.didierstevens.com/my-software/#simple-shellcode-generator

[57] TaskManager: https://blog.didierstevens.com/my-software/#TaskManager

[58] translate: https://blog.didierstevens.com/my-software/#translate

[59] ultraedit_scripts: https://blog.didierstevens.com/my-software/#ultraedit_scripts

[60] UndeletableSafebootKey: https://blog.didierstevens.com/my-software/#UndeletableSafebootKey

[61] virtualwill: https://blog.didierstevens.com/my-software/#virtualwill

[62] AES-шифрованием: https://www.movable-type.co.uk/scripts/aes.html

[63] virustotal-submit: https://blog.didierstevens.com/my-software/#virustotal-submit

[64] vs: https://blog.didierstevens.com/my-software/#vs

[65] what-is-new: https://blog.didierstevens.com/my-software/#what-is-new

[66] wsrradial: https://blog.didierstevens.com/my-software/#wsrradial

[67] Chanalyzer: https://www.metageek.com/

[68] XORSearch: https://blog.didierstevens.com/my-software/#XORSearch

[69] XORStrings: https://blog.didierstevens.com/my-software/#XORStrings

[70] ZIPEncryptFTP: https://blog.didierstevens.com/my-software/#ZIPEncryptFTP

[71] одним архивом: https://didierstevens.com/files/software/DidierStevensSuite.zip

[72] «Разъяснение вредоносных PDF-документов»: https://ieeexplore.ieee.org/document/5705599/

[73] показывал: https://x.com/NVISOsecurity/status/1583051399994015744

[74] как скрывать следы файлов, спрятанных внутри PDF: https://blog.didierstevens.com/2009/07/01/embedding-and-hiding-files-in-pdf-documents/

[75] как запускать их на исполнение: https://blog.didierstevens.com/2010/03/29/escape-from-pdf/

[76] 1: https://blog.didierstevens.com/2017/12/26/cracking-encrypted-pdfs-part-1/

[77] 2: https://blog.didierstevens.com/2017/12/27/cracking-encrypted-pdfs-part-2/

[78] 3: https://blog.didierstevens.com/2017/12/28/cracking-encrypted-pdfs-part-3/

[79] 4: https://blog.didierstevens.com/2017/12/29/cracking-encrypted-pdfs-conclusion/

[80] Advanced PDF Password Recovery: https://www.elcomsoft.com/apdfpr.html

[81] как грамотно повредить PDF: https://blog.didierstevens.com/2009/06/09/quickpost-make-your-own-corrupted-pdfs-for-free/

[82] продавали повреждённые документы Word: http://www.schneier.com/blog/archives/2009/06/corrupted_word.html

[83] Джастин Танни: https://habr.com/ru/company/ruvds/blog/682150/

[84] Джей Фриман (saurik): https://habr.com/ru/company/ruvds/blog/688716/

[85] Михал Залевски: https://habr.com/ru/company/ruvds/blog/695386/

[86] 1: https://habr.com/ru/company/ruvds/blog/701556/

[87] 2: https://habr.com/ru/company/ruvds/blog/721150/

[88] Марк Руссинович: https://habr.com/ru/company/ruvds/blog/710268/

[89] Юрки Алакуйяла: https://habr.com/ru/company/ruvds/blog/713648/

[90] Андрей Карпаты: https://habr.com/ru/companies/ruvds/articles/728056/

[91] Даниэль Стенберг, автор curl: https://habr.com/ru/companies/ruvds/articles/733002/

[92] Колин Персиваль, автор tarsnap: https://habr.com/ru/companies/ruvds/articles/739392/

[93] Джефф Дин: https://habr.com/ru/companies/ruvds/articles/752206/

[94] antirez, автор СУБД Redis: https://habr.com/ru/companies/ruvds/articles/758112/

[95] Оскар Толедо: потомственный волшебник: https://habr.com/ru/companies/ruvds/articles/765074/

[96] Ральф Меркл: криптограф, крионик и теоретик молекулярной инженерии: https://habr.com/ru/companies/ruvds/articles/770556/

[97] Чем сейчас занимается Фабрис Беллар: https://habr.com/ru/companies/ruvds/articles/781922/

[98] Мигель де Икаса и его мечта — Linux на десктопах: https://habr.com/ru/companies/ruvds/articles/787860/

[99] Давид Хейнемейер Ханссон (DHH): автор Ruby on Rails: https://habr.com/ru/companies/ruvds/articles/795275/

[100] Карсон Гросс, создатель HTMX: https://habr.com/ru/companies/ruvds/articles/814193/

[101] Клеман Лефевр, создатель Linux Mint: https://habr.com/ru/companies/ruvds/articles/817327/

[102] Андреас Клинг, его операционная система SerenityOS и браузер Ladybird: https://habr.com/ru/companies/ruvds/articles/823778/

[103] Джеффри Сновер и создание PowerShell: https://habr.com/ru/companies/ruvds/articles/832744/

[104] Реймонд Хилл и его блокировщик uBlock Origin: https://habr.com/ru/companies/ruvds/articles/845576/

[105] Ричард Столлман, автор GCC и Emacs: https://habr.com/ru/companies/ruvds/articles/857666/

[106] Дрю ДеВолт — автор языка Hare и платформы кодохостинга SourceHut: https://habr.com/ru/companies/ruvds/articles/863866/

[107] Источник: https://habr.com/ru/companies/ruvds/articles/869680/?utm_campaign=869680&utm_source=habrahabr&utm_medium=rss

Нажмите здесь для печати.