porta-plus.ru

Реверс-инжиниринг без IDA Pro. Мотиков раскрыл арсенал аналитика

Реверс-инжиниринг без IDA Pro. Мотиков раскрыл арсенал аналитика
Foto: porta-plus.ru

Автор porta-plus.ru, июл 10, 2026

Реверс-инжиниринг без IDA Pro. Мотиков раскрыл арсенал аналитика

Аналитик киберугроз компании «Гарда» Максим Мотиков опубликовал детальный разбор своего рабочего инструментария для анализа вредоносного программного обеспечения. Главный тезис - платная IDA Pro не является незаменимой, а грамотно собранный стек из бесплатных утилит закрывает большинство задач ничуть не хуже.

Цена вопроса и почему бесплатное побеждает

IDA Pro стоит около тысячи долларов в год - и это только базовая конфигурация. Каждый декомпилятор под отдельную архитектуру продаётся отдельно: купил поддержку x86 и x64, а за ARM придётся доплачивать. Итоговый ценник при полной комплектации легко перешагивает десять тысяч долларов. Мотиков сравнивает это с покупкой машины без колёс.

Тем не менее полностью отказываться от IDA он не советует. Для командной работы у неё есть серьёзный козырь - встроенный сервер совместного доступа, где несколько специалистов одновременно правят один и тот же код. Бесплатная версия IDA Free такого не умеет: декомпилятора нет, Python-скрипты не работают, плагины не подключить. Базовый дизассемблер - и не более.

Два стенда вместо одного: почему это принципиально

Мотиков использует две отдельные виртуальные машины - под статику и под динамику. Разделение не прихоть, а необходимость. Машина для статического анализа работает с открытой сетью: один из ключевых плагинов, HashDB, тянет базу контрольных сумм с удалённого сервера и без интернета попросту бесполезен.

Динамическая машина - полностью изолирована. Причина прозаична: если дать малвари выход в сеть, она может связаться с командным сервером, получить команду затаиться или самоуничтожиться. Весь предыдущий анализ - насмарку. Некоторые образцы умеют детектировать отладчик и сигнализировать об этом оператору. Сеть выключена - и точка.

Плагины, которые реально работают

Поверх IDA аналитик держит четыре опенсорсных плагина. Все они свободно модифицируются - хочешь расширить функционал, закидывай патч на GitHub.

  • HashDB - по контрольной сумме из кода ищет совпадение в большой базе хешей. Единственный инструмент в стеке, требующий интернета.
  • Yarka - точечно генерирует YARA-правила из конкретного, найденного вручную алгоритма. Спасает, когда малварь использует самописный шифр вместо стандартного AES.
  • Find Crypt - ищет криптографические константы по YARA-сигнатурам. Не спасёт, если константы модифицированы, зато всё, что описано в стандартных спецификациях, увидит без промаха.
  • ClassInformer - выводит все классы из бинарника единым списком. Без него легко пропустить важную функциональность, которая лежит где-то в глубине дата-секции.

Отдельно в арсенале живёт утилита YarGen - она работает массово. Закидываешь папку с образцами, она сама генерирует черновики YARA-правил по встречающимся строкам. Yarka - для точечной работы, YarGen - для быстрого охвата целой пачки семплов.

Зачем это важно за пределами одной лаборатории

История с дорогостоящими лицензиями - не частная проблема одного аналитика. Российские компании в последние годы сталкиваются с ограничениями доступа к западному ПО для ИБ, и вопрос импортозамещения в сфере реверс-инжиниринга стоит остро. Публичные разборы рабочих стеков от практикующих специалистов - редкость. Мотиков фактически даёт коллегам по цеху готовый шаблон, который не требует пятизначного бюджета на лицензии.