$8 900 за обучение плюс $999 за экзамен GREM (при покупке вместе с курсом) - полный ценник SANS FOR610 на 2025 год превышает 900 000 ₽. OTUS предлагает пятимесячный курс с ассемблером и анализом реального малвари примерно за 100 000–150 000 ₽, Kaspersky Academy отдаёт RE101 бесплатно, а Hex Rays учит работать в IDA Pro из первых рук. Работаю с Ghidra и x64dbg каждый день, участвую в CTF-категории reversing, прошёл FOR610 - так что сравнение ниже основано на опыте прохождения и применения, а не на маркетинговых буклетах.
Критерии отбора курсов по реверс-инжинирингу
В обзор вошли курсы, которые готовят к анализу вредоносного ПО: статический и динамический анализ бинарных файлов, дизассемблирование и отладка, работа с упаковщиками и обфускацией. Курсы по 3D-сканированию и промышленному обратному проектированию (Skillbox, «Комплекс КАД») - совсем другая дисциплина, к кибербезопасности отношения не имеют, хотя в поисковой выдаче стабильно торчат на первых позициях по запросу «реверс-инжиниринг».Каждый вариант оценивался по двум осям отдельно:
Теоретическая составляющая - покрытие техник MITRE ATT&CK (Software Packing T1027.002, Process Hollowing T1055.012, Debugger Evasion T1622, Deobfuscate/Decode Files T1140), глубина ассемблера, системное программирование.
Практическая составляющая - формат лабораторных: реальные семплы или учебные заглушки, наличие CTF, проектная работа. Плюс цена, язык обучения, наличие сертификации.
Что не вошло. Malware Unicorn RE101 и OpenSecurityTraining2 рассмотрены в разделе бесплатных ресурсов. SANS FOR710 (Advanced Code Analysis) - отдельный уровень для тех, кто уже прошёл FOR610. Skillbox «Реверс-инжиниринг» - курс про 3D-моделирование и КОМПАС-3D, к анализу малвари не имеет отношения.
SANS FOR610 - обучение malware analysis мирового стандарта
FOR610 - шестидневный интенсив, который SANS позиционирует как основной курс по реверсу вредоносного ПО. Автор курса - Lenny Zeltser (создатель REMnux); среди инструкторов - Anuj Soni, Xavier Mertens и др. Стоимость обучения: $8 900. Стоимость экзамена GREM: $999 при покупке вместе с курсом (отдельно - от $1 299; актуальные цены на giac.org/get-certified/cost).
Теория. Пять дней выстроены по нарастающей:
- День 1 - основы статического и динамического анализа, настройка лаборатории (Windows VM + REMnux). Почти половина первого дня уходит на установку порядка 25 инструментов на виртуалку - муторно, но без этого дальше никуда
- День 2 - ассемблер x86/x64 и работа в Ghidra: дизассемблирование, control flow, распознавание API-паттернов. Самый тяжёлый день для тех, кто не писал код руками
- День 3 - вредоносные документы: PDF, VBA-макросы в Office, RTF, деобфускация JavaScript
- День 4 - распаковка малвари (UPX, кастомные пакеры), шеллкод, .NET-малварь, code injection. Используется ProcDot для визуализации активности
- День 5 - anti-analysis: обнаружение виртуальных сред (System Checks, T1497.001), обход отладчиков (Debugger Evasion, T1622), process hollowing (T1055.012)
- День 6 - CTF-турнир на NetWars, 6 часов
Ограничения, о которых молчит маркетинг. VM-стенд исторически требовал Intel-процессор; на 2025 год SANS может предлагать решения для Apple Silicon - актуальные требования на sans.org/laptop-requirements для конкретного курса. Материалы датированы 2023 годом. Нет покрытия малвари на Rust и Go - а это уже не экзотика, а тренд. Только x86 ASM - ARM не затрагивается. Курс фокусируется на Windows, GNU/Linux и macOS упоминаются мельком. В on-demand формате вместо полноценных записей - короткие видео по 2-5 минут, и это раздражает.
Без базового понимания программирования день 2 превращается в стресс: по отзывам выпускников, слушатели без знания хотя бы одного ОО-языка теряются в ассемблерном листинге. В отличие от OSCP, PNPT или eJPT, которые сфокусированы на пентесте и не покрывают malware analysis, FOR610 полностью про анализ вредоносного ПО, и входной порог соответствующий.
Подготовка к GREM: формат экзамена и стратегия сдачи
GREM (GIAC Reverse Engineering Malware) - сертификация, привязанная к FOR610. Экзамен open book: разрешены печатные материалы и собственный индекс, электронные носители запрещены. Сдача - в PearsonVUE testing center или через OnDemand с remote proctoring. Проходной балл - 71% (giac.org/certifications/reverse-engineering-malware-grem). Экзамен прокторирован.Что проверяется. Авторы курса опубликовали самооценочный квиз, дающий представление об уровне вопросов:
Код:
PUSH EBP
MOV EBP, ESP
SUB ESP, 40OpenProcess -> VirtualAllocEx -> WriteProcessMemory -> CreateRemoteThread = process injection. Различать hardware- и software-breakpoints в x64dbg при анализе упакованного кода. Определять C2-коммуникацию по DNS-запросам к подозрительным доменам.Стратегия. Open book не означает «легко». Мой индекс к GREM занял около 40 страниц: для каждой техники, API-вызова и инструмента - номер страницы и краткое описание. Без качественного индекса скорость ответов падает вдвое - времени на поиск в пяти книгах просто не хватает. Опытные сдающие тратят 20–30 часов только на составление указателя. Это отдельная работа, и она себя окупает.
После сдачи можно получить приглашение в invite-only REM-alumni mailing list - закрытое сообщество выпускников FOR610 и обладателей GREM.
Рыночная ценность в России. GREM встречается в вакансиях вирусных аналитиков и threat intelligence-специалистов крупных компаний (Kaspersky, Positive Technologies, BI.ZONE), но значительно реже, чем OSCP или CEH. Для SOC-инженера или пентестера GREM - плюс в резюме, не обязательное требование. На hh.ru в июне 2025 по запросу «GREM» - единичные вакансии, по «анализ вредоносного ПО» - десятки, и почти все требуют практический навык, а не бумагу.
Обучение анализу вредоносного ПО на русском: OTUS и Codeby
OTUS - курс «Реверс-инжиниринг». Пятимесячный курс с занятиями онлайн два раза в неделю (понедельник/среда, 20:00 МСК). Ближайший старт - 29 июля.Теоретическая составляющая:
- Экспресс-курс ассемблера - от регистров и опкодов до RISC-архитектуры на примере MIPS и написания кастомного MBR (10 тем с домашними заданиями). По сути, тот же день 2 из FOR610, но растянутый на нормальный темп - и это плюс
- Архитектура процессора - защищённый режим, сегментная и страничная организация памяти. Без этого модуля руткиты останутся чёрным ящиком
- Внутренности Windows - объекты ядра, менеджер памяти, диспетчер ввода-вывода, настройка среды для отладки драйверов kernel-mode
- PE-формат - таблицы импорта и экспорта, релокации, перехват WinAPI, Native-приложения, способы добавления в автозагрузку
- Практический анализ - статический и динамический анализ, разработка шелл-кодов, ручная распаковка, анализ эксплойтов и реальных вредоносных образцов, Buffer Overflow, UAF, буткиты
Стоимость доступна по запросу на сайте OTUS, ориентировочно 100 000–150 000 ₽ с возможностью рассрочки. Это в 6–7 раз дешевле SANS FOR610 при сопоставимом покрытии тем. Ключевое ограничение: нет международно признанной сертификации - по окончании выдаётся сертификат OTUS и диплом о повышении квалификации (при наличии профильного технического образования).
Codeby - курс реверс в среде практиков. Отдельного курса, полностью посвящённого реверс-инжинирингу в формате FOR610 или OTUS, в Codeby сейчас нет. Сильная сторона - среда: форум yg140.servegame.com с тредами по анализу малвари и writeups с CTF-категории reversing, курс WAPT с элементами бинарной эксплуатации. Для тех, кто строит навык реверса параллельно с пентест-треком, среда Codeby работает как дополнение к формальному курсу, а не как замена.
Hex Rays Academy - обучение IDA Pro от создателей дизассемблера
Hex-Rays, компания-разработчик IDA Pro, проводит тренинги по своему дизассемблеру. Формат - интенсивные сессии на конференциях (REcon, OffensiveCon) или выделенные корпоративные тренинги.Теория. Фокус узкий, но глубокий: внутренняя архитектура IDA Pro, написание плагинов на IDAPython, использование Hex-Rays Decompiler для восстановления C-кода из бинарей. Это не курс по анализу малвари - это инструментальный тренинг для тех, кто уже работает в IDA Pro и хочет перейти к автоматизации. Если вы ещё не знаете, зачем нужен
ida_hexrays.decompile(), то рано.Практика. Участники работают с дизассемблером под руководством его разработчиков. Возможность задать вопрос человеку, написавшему декомпилятор - такого нет ни на одном другом курсе. Один вопрос про внутреннее представление microcode может сэкономить недели ковыряния в документации.
Стоимость. Публичного прайса нет. По данным участников конференционных тренингов, двух-трёхдневная сессия обходится в $2 000–$3 500 без учёта перелёта и проживания. Сертификация отсутствует. Без базы в ассемблере и понимания PE-формата Hex Rays Academy преждевременна.
Бесплатные курсы реверс-инжиниринг: roadmap для начинающих
Бесплатный путь реально работает, но требует дисциплины и структуры. Без них - растянется на год. Вот конкретный roadmap с временными ориентирами:
Этап 1: Основы (4–6 недель).
Kaspersky Academy «Reverse Engineering 101» - бесплатный онлайн-курс (английский, доступ на 6 месяцев). Покрывает фундамент: PE-формат, устройство стека, базовые приёмы анализа. Ограничение: нет менторства, полностью самостоятельное обучение - если застрял, гуглить придётся самому. Параллельно - «Practical Malware Analysis» (Sikorski, Honig): первые 8 глав за 4 недели, по 2 главы в неделю.
Этап 2: Инструменты (4–6 недель).
Malware Unicorn RE101 - бесплатный workshop: разбор реальных семплов, работа с x64dbg и Ghidra. Рекомендуется выпускниками FOR610 как практическое дополнение. OpenSecurityTraining2 - бесплатные курсы по архитектуре x86/x64, достаточные для уверенного чтения ассемблерного листинга. Для автоматизации решения CTF-задач стоит начать осваивать pwntools и angr - первый для эксплойтов, второй для символьного исполнения бинарей.
Этап 3: Практика (непрерывно).
Malware Traffic Analysis (malwaretrafficanalysis.net) - еженедельные упражнения с PCAP-дампами и семплами. CTF-площадки: категории reversing и pwn на CTFtime. HackTheBox и TryHackMe имеют разделы reversing, но для чистого malware analysis специализированные площадки и репозитории семплов (Hybrid Analysis, InQuest, Fabricmagic72 на GitHub) полезнее.
Типичные ошибки новичков - видел все три:
- Ассемблер «в теории» без привязки к реальным бинарям - усваивается только через практику в отладчике. Читать про
MOVиJMPв учебнике - одно, а ковырять упакованный семпл в x64dbg - совсем другое - Прыжок сразу в IDA/Ghidra, минуя динамический анализ. Поведенческий анализ в песочнице часто даёт 80% ответов за 20% времени. Сначала запусти, посмотри, куда стучит - потом уже дизассемблируй
- Игнорирование сетевой составляющей: перехват C2-трафика через INetSim или FakeNet-NG - навык, который бесплатные ресурсы часто обходят стороной
Сравнительная таблица: курс reverse engineering 2025
| Критерий | SANS FOR610 | OTUS | Hex Rays Academy | Бесплатный путь |
|---|---|---|---|---|
| Стоимость | $8 900 обучение + от $999 GREM (~990 000 ₽+) | ~100 000–150 000 ₽ | $2 000–3 500 | 0 ₽ |
| Длительность | 6 дней | 5 месяцев | 2–3 дня | 3–6 месяцев |
| Язык | Английский | Русский | Английский | Английский |
| Сертификация | GREM (GIAC) | Диплом OTUS | Нет | Нет |
| Лабораторные | Реальные семплы, CTF | Стенды + проект | Работа в IDA Pro | Самостоятельно |
| Покрытие техник | T1027, T1055, T1140, T1622 | PE, руткиты, BOF, UAF | Дизассемблирование | Зависит от выбора |
| Входной порог | Опыт программирования | Нет формальных | Опыт в IDA Pro | Нет |
| Rust/Go малварь | Нет | Нет | Нет | Зависит от ресурса |
| ОС-фокус | Windows | Windows | Кросс-платформенный | Зависит от ресурса |
| Подходит | SOC/IR, нужен GREM | Начинающие реверсеры | Опытные пользователи IDA | Самостоятельные learners |
| НЕ подходит | Нет бюджета и английского | Нужна GIAC-сертификация | Нет базы в ассемблере | Нет дисциплины |
Корпоративная оплата сертификации: как убедить работодателя
Для FOR610 корпоративная компенсация - зачастую единственный реалистичный сценарий. Из своего кармана миллион на курс отдавать больно.Кто платит. Компании с выделенными SOC/IR-командами нередко включают SANS-тренинги в бюджет на обучение. Типичные условия: обязательство отработать 1–2 года после обучения; при увольнении раньше - возмещение стоимости.
Как обосновать:
- Подготовить бизнес-кейс: конкретный инцидент или пробел в capabilities команды, который закроет курс. «В прошлом квартале нанимали внешнего аналитика за 500 000 ₽ для разбора одного семпла» - такой аргумент работает
- Показать ROI: стоимость привлечения внешнего аналитика для разбора одного инцидента vs стоимость обучения штатного
- Предложить альтернативу: если FOR610 не согласуют - OTUS за 100 000–150 000 ₽ как запасной аргумент для бюджет-холдера
OTUS и самостоятельная оплата. Рассрочка снижает порог входа. Для российского рынка, где специалистов с навыками реверса хронически не хватает, даже OTUS без международного сертификата быстро окупается - практический навык анализа бинарных файлов ценится работодателями выше бумаги.
Reverse engineering для начинающих: какой курс выбрать
Проблема с выбором курса по реверс-инжинирингу - не в цене и не в языке. Проблема в том, что индустрия переоценивает формальное обучение и недооценивает рутинную практику. Видел людей с GREM, которые через полгода не могли распаковать семпл с нестандартным пакером - потому что после сертификации перестали тренироваться. И видел людей без единого сертификата, которые стабильно берут топ-3 в CTF-категории reversing, потому что каждую неделю разбирают новый образец с Hybrid Analysis до последнего syscall.
GREM открывает двери на собеседовании, но на техническом интервью спросят не про бумагу, а про то, как вы будете анализировать семпл с dynamic API resolution (T1027.007), который детектится двумя антивирусами из 70. Ни один шестидневный курс этому не научит - только регулярная практика, неделя за неделей. Русскоязычный рынок курсов по реверс-инжинирингу пока узкий: OTUS - по сути единственный серьёзный вариант на русском с покрытием от ассемблера до руткитов. Кто сейчас вложит время в курс по реверс-инжинирингу и выстроит рутину анализа семплов, через год-два окажется в числе тех немногих, кого ищут на hh.ru с пометкой «опыт анализа вредоносного ПО обязателен». Если идёшь к OSCP и нужна подготовка по веб-части - WAPT на codeby.school покрывает это в первой трети курса.
Последнее редактирование модератором:
