Хакерские утилиты Дидье Стивенса

Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows, анализу документов PDF и внедрению туда вредоносных файлов, а также как автор опенсорсных утилит Didier Stevens Suite: это 140 программ для системных операций с файлами, процессами, реестром и прочими штуками. Например, диспетчер задач Windows, реализованный в Excel/VBA (на КДПВ).

▍ Карьера

Как сказано в профиле на LinkedIn Дидье Стивенс «начал программировать более 40 лет назад и не собирается останавливаться». С 80-х годов увлекался хакерскими штучками, а именно реверс-инжинирингом вредоносного ПО. По сути, он занимается этим по сей день. Если у вас есть интересный образец, можете отправлять ему на почту.

Официальная карьера Дидье началась в 1991 году с бельгийского провайдера Belgacom, затем были Euroclear и IP Globalnet, с 2000-го по 2016-й гг работал консультантом по безопасности в Microsoft, сначала внештатно, а затем в роли Microsoft MVP по безопасности пользователей.

В 2012 году основал компанию Didier Stevens Labs, которая до сих пор активна. Вероятно, с этого юрлица он оказывает консультационные услуги по цене в несколько раз выше, чем платят физлицу-контрактнику. Как говорится, у каждого хорошего программиста должна быть своя фирма для таких случаев.

В последние годы ведёт частный бизнес, занимая при этом должности старшего обработчика (senior handler) в Центре интернет-угроз (Internet Storm Center, ISC) технологического института SANS и старшего аналитика в компании NVISO, которая занимается вопросами информационной безопасности и защиты от кибератак.

Ведёт блог по вопросам инфобеза.

▍ Проекты

Специалисты по информационной безопасности могли встречать упоминание опенсорсных утилит Didier Stevens Suite, который содержит 140 маленьких программ. Вот некоторые:

• Ariad: инструмент (драйвер) для блокировки исполнения кода после установки USB-флэшки в порт,
  
• base64dump: извлечение из файла строк base64,
  
• BinaryTools: простые инструменты для бинарных операций: reverse (инвертирует файл) и middle (извлечение последовательности),
  
• bpmtk: набор инструментов для манипулирования основными процессами,
  
• BruteForceEnigma: программа для брутфорса шифров Enigma,
  
• cipher-tool: кодирование и декодирование текстов простыми шифрами,
  
• cmd-dll: преобразование cmd.exe (ReactOS) в dll,
  
• CounterHeapSpray: инструмент для обеспечения безопасности процессов: отслеживает использование памяти приложением для защиты от heap spraying,
  
• CreateCertGUI: генерация собственного сертификата OpenSSL (GUI под Windows)
  
  
  
  
  
• decode-vbe: декодирование файлов VBE,
  
• decompress_rtf: инструмент для декомпрессии сжатых RTF,
  
• disitool: инструмент для работы с цифровыми подписями исполняемых файлов Windows,
  
• emldump: анализ файлов MIME,
  
• extractscripts: извлечение каждого скрипта из файла HTML в отдельный файл,
  
• file-magic: обёртка для файла (libmagic),
  
• file2vbscript: внедрение исполняемого кода в скрипт vbscript,
  
• FileScanner: сканирование файлов на определённые паттерны,
  
• find-file-in-file: проверка на наличие вложенных файлов внутри файла,
  
• HeapLocker: инструмент для обеспечения безопасности процессов, похож на EMET, но с открытым кодом (против атак типа heap spraying),
  
• InstalledPrograms: электронная таблица со списком установленных программ из HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  
  
  
  
• InteractiveSieve: GUI-инструмент для анализа файлов с отображением результата в табличной форме, полезен для тех случаев, когда вы точно не знаете, что ищете
  
  
  
  
• jpegdump: инструмент для анализа файлов JPEG,
  
• js-unicode-escape и js-unicode-unescape: скрипты к редактору 010 Editor для преобразования байтов в строку Unicode для JavaScript и обратно,
  
• keihash: вычисление хеша SSH Key Exchange Init (KEI),
  
• ListModules: анализ цифровой подписи всех исполняемых файлов в процессах,
  
• LockIfNotHot: автоматическая блокировка компьютера Windows, когда пользователь отходит от него, на основании данных инфракрасного температурного сенсора
  
  
• lookup-tools: инструменты для резолвинга хостов и IP-адресов
  
• make-pdf: набор программ Python для генерации всех видов PDF-файлов, часть набора инструментов PDF Tools
  
  
  
  
  
• msoffcrypto-crack: взлом пароля MS Office,
  
• my-shellcode: коллекция шеллкода, написанного вручную на ассемблере nasm (в основном), примеры здесь,
  
• NAFT: набор инструментов для экспертизы сетевых приложений (Network Appliance Forensic Toolkit)
  
  
• NetworkMashup: сетевые утилиты (пинг, DNS), написанные в Excel/VBA
  
  
  
  
  
• oledump: анализ OLE-файлов
  
• pdf-parser: программа для анализа PDF
  
  
• psurveil: использование телефона Nokia N800 в качестве камеры наблюдения (фотосъёмка через заданный интервал времени); хотя такими телефонами никто не пользуется, но интересна сама идея использовать старый ненужный смартфон в качестве камеры наблюдения или видеоняни, чтобы не выбрасывать зря технику, которая ещё может пригодиться в хозяйстве
  
  
  
  
• rtfdump: анализ файлов RTF,
  
• RTStego: стеганография по радужным таблицам,
  
• SendtoCLI: GUI для консольных команд,
  
• shellcode2vba и shellcode2vbscript: преобразование шеллкода в VBA и VBScript,
  
• ShellCodeMemoryModule: генерирует шеллкод, загружаемый в память DLL,
  
• simple-shellcode-generator: программа на Python для генерации 32-битного шеллкода (ассемблерного кода),
  
• TaskManager: диспетчер задач Windows на Excel/VBA
  
  
  
  
• translate: питоновский скрипт для выполнения побитовых операций над файлами (таких как XOR, ROL/ROR и др.),
  
• ultraedit_scripts: коллекция скриптов для редактора UltraEdit,
  
• UndeletableSafebootKey: инструмент для генерации в реестре неудаляемого ключа Safeboot (защищённый режим загрузки),
  
• virtualwill: HTML-программа (страница) для хранения вашего завещания, с AES-шифрованием
  
  
  
  
  
• virustotal-submit: отправка файлов для сканирования в VirusTotal,
  
• vs: программа Python для использования IP-камер в качестве видеокамер наблюдения: фотосъёмка через заданные интервалы и автоматический запуск указанной программы (например, для сравнения нового кадра с предыдущим на предмет значительных отличий),
  
• what-is-new: утилита для выявления новых элементов в списке:
  
  
  
  
  
• wsrradial: инструмент для построения радиального графика WiFi-сигнала по данным с анализатора Wi-Spy (сейчас называется Chanalyzer), который помогает выявить помехи и избыточную плотность в спектре 2,4 и 5 ГГц
  
  
  Chanalyzer
  
  
• XORSearch и XORStrings: поиск заданной строки в файлах, которые обработаны с помощью XOR, ROL, ROT, SHIFT и др.
  
• ZIPEncryptFTP: программа для резервного копирования: архивирует заданные папки, шифрует архив и копирует его по FTP куда задано,

Всё это богатство можно скачать одним архивом. Может быть, кто-то найдёт там полезное для себя.

▍ Разбор и взлом PDF

Дидье Стивенс — известный специалист по формату PDF, а именно по его уязвимостям и недокументированным функциям. Этому посвящена его единственная научная статья «Разъяснение вредоносных PDF-документов» в журнале IEEE Security & Privacy (2011, Volume: 9, Issue: 1, DOI: 10.1109/MSP.2011.14).

Среди всех его программ самым популярным является набор утилит PDF Tools, который включает в том числе консольный pdf-parser.py для удобного разбора файлов, в том числе зашифрованных:



Для примера, на одном из вебинаров (для начинающих) Дидье показывал, как внутри PDF-документа поместить DOCX, который скачивает RTF, который запускает вредоносный шеллкод. Получается такой «многослойный» вирусный документ.

В его блоге были посты о том, как скрывать следы файлов, спрятанных внутри PDF, как запускать их на исполнение, целая серия статей по взлому запароленных PDF, включая восстановление пароля, восстановление ключа и расшифровку документа (1, 2, 3, 4) с помощью программы Advanced PDF Password Recovery от российской чешской компании «Элкомсофт» и своим собственным методом.

В другом посте он рассказывает, как грамотно повредить PDF (оказывается, некоторые «бизнесмены» в интернете реально продавали повреждённые документы Word студентам и офисным сотрудникам, которые хотят купить реалистичную «отмазку» за несделанную в срок работу). Благодаря Стивенсу можно повредить свой PDF совершенно бесплатно: после замены пары байт файл не открывается ни в одном редакторе (из тех, что были проверены).

---

Пример бельгийского разработчика показывает, что карьера успешного профессионала может стартовать с невинных хакерских шалостей. По мере роста мастерства и серьёзного отношения к делу ты превращаешься в «ведущего специалиста по информационной безопасности», которого нанимают для консультаций ведущие корпорации и приглашают выступать на конференциях.

Выдающиеся программисты 21 века. Предыдущие статьи

• Джастин Танни
  
• Джей Фриман (saurik)
  
• Михал Залевски
  
• Джон Кармак: 1, 2
  
• Марк Руссинович
  
• Юрки Алакуйяла
  
• Андрей Карпаты
  
• Даниэль Стенберг, автор curl
  
• Колин Персиваль, автор tarsnap
  
• Джефф Дин
  
• antirez, автор СУБД Redis
  
• Оскар Толедо: потомственный волшебник
  
• Ральф Меркл: криптограф, крионик и теоретик молекулярной инженерии
  
• Чем сейчас занимается Фабрис Беллар
  
• Мигель де Икаса и его мечта — Linux на десктопах
  
• Давид Хейнемейер Ханссон (DHH): автор Ruby on Rails
  
• Карсон Гросс, создатель HTMX
  
• Клеман Лефевр, создатель Linux Mint
  
• Андреас Клинг, его операционная система SerenityOS и браузер Ladybird
  
• Джеффри Сновер и создание PowerShell
  
• Реймонд Хилл и его блокировщик uBlock Origin
  
• Ричард Столлман, автор GCC и Emacs
  
• Дрю ДеВолт — автор языка Hare и платформы кодохостинга SourceHut

© 2025 ООО «МТ ФИНАНС»

Telegram-канал со скидками, розыгрышами призов и новостями IT 💻