Реверс-инжиниринг без IDA Pro. Мотиков раскрыл арсенал аналитика
Автор porta-plus.ru, июл 10, 2026
Аналитик киберугроз компании «Гарда» Максим Мотиков опубликовал детальный разбор своего рабочего инструментария для анализа вредоносного программного обеспечения. Главный тезис - платная IDA Pro не является незаменимой, а грамотно собранный стек из бесплатных утилит закрывает большинство задач ничуть не хуже.
Цена вопроса и почему бесплатное побеждает
IDA Pro стоит около тысячи долларов в год - и это только базовая конфигурация. Каждый декомпилятор под отдельную архитектуру продаётся отдельно: купил поддержку x86 и x64, а за ARM придётся доплачивать. Итоговый ценник при полной комплектации легко перешагивает десять тысяч долларов. Мотиков сравнивает это с покупкой машины без колёс.
Тем не менее полностью отказываться от IDA он не советует. Для командной работы у неё есть серьёзный козырь - встроенный сервер совместного доступа, где несколько специалистов одновременно правят один и тот же код. Бесплатная версия IDA Free такого не умеет: декомпилятора нет, Python-скрипты не работают, плагины не подключить. Базовый дизассемблер - и не более.
Два стенда вместо одного: почему это принципиально
Мотиков использует две отдельные виртуальные машины - под статику и под динамику. Разделение не прихоть, а необходимость. Машина для статического анализа работает с открытой сетью: один из ключевых плагинов, HashDB, тянет базу контрольных сумм с удалённого сервера и без интернета попросту бесполезен.
Динамическая машина - полностью изолирована. Причина прозаична: если дать малвари выход в сеть, она может связаться с командным сервером, получить команду затаиться или самоуничтожиться. Весь предыдущий анализ - насмарку. Некоторые образцы умеют детектировать отладчик и сигнализировать об этом оператору. Сеть выключена - и точка.
Плагины, которые реально работают
Поверх IDA аналитик держит четыре опенсорсных плагина. Все они свободно модифицируются - хочешь расширить функционал, закидывай патч на GitHub.
- HashDB - по контрольной сумме из кода ищет совпадение в большой базе хешей. Единственный инструмент в стеке, требующий интернета.
- Yarka - точечно генерирует YARA-правила из конкретного, найденного вручную алгоритма. Спасает, когда малварь использует самописный шифр вместо стандартного AES.
- Find Crypt - ищет криптографические константы по YARA-сигнатурам. Не спасёт, если константы модифицированы, зато всё, что описано в стандартных спецификациях, увидит без промаха.
- ClassInformer - выводит все классы из бинарника единым списком. Без него легко пропустить важную функциональность, которая лежит где-то в глубине дата-секции.
Отдельно в арсенале живёт утилита YarGen - она работает массово. Закидываешь папку с образцами, она сама генерирует черновики YARA-правил по встречающимся строкам. Yarka - для точечной работы, YarGen - для быстрого охвата целой пачки семплов.
Зачем это важно за пределами одной лаборатории
История с дорогостоящими лицензиями - не частная проблема одного аналитика. Российские компании в последние годы сталкиваются с ограничениями доступа к западному ПО для ИБ, и вопрос импортозамещения в сфере реверс-инжиниринга стоит остро. Публичные разборы рабочих стеков от практикующих специалистов - редкость. Мотиков фактически даёт коллегам по цеху готовый шаблон, который не требует пятизначного бюджета на лицензии.