The Art of Mac Malware, Volume 1
The Guide to Analyzing Malicious Software
La plongée profonde de Patrick Wardle sur l'analyse de malware macOS : patterns de persistance, techniques d'injection, astuces anti-analyse et le tooling macOS-spécifique nécessaire pour trier de vrais échantillons.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Patrick Wardle
- Publié
- 2022
- Éditeur
- No Starch Press
- Pages
- 328
- Langue
- English
À lire si
Analystes malware qui doivent gérer des échantillons macOS et n'ont travaillé que Windows jusqu'ici. Le seul livre sérieux en imprimé sur le malware Mac, par le praticien le plus en vue du champ.
À éviter si
Analystes qui ne voient pas macOS dans leur pipeline. Les spécificités plateforme (Mach-O, code signing, TCC, XPC, launch agents) sont non transférables à d'autres systèmes d'exploitation.
Points clés
- L'analyse Mach-O diffère de l'analyse PE de manière non triviale ; les chapitres sur entitlements, code signing et notarization sont la fondation pratique.
- La persistance macOS a sa propre taxonomie (LaunchAgents, LaunchDaemons, login items, period plists, dylib hijacks) ; l'apprendre est la moitié du travail de l'analyste.
- Le propre tooling d'Apple (Console.app, sample, fs_usage, Endpoint Security framework) est le bon kit de départ pour le triage ; le cadrage de Wardle est le plus net en imprimé.
Notes
À coupler avec les outils Objective-See de Wardle (BlockBlock, KnockKnock, Lulu) et avec le livre Volume 2 sur la détection. Lecture obligatoire pour toute blue team qui gère des endpoints Mac en 2026 (la plupart maintenant). Le livre précède quelques changements de l'ère Sequoia ; vérifiez le blog Objective-See pour les raffinements actuels.
Que lire avant
Que lire avant The Art of Mac Malware, Volume 1 →Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Intermédiaire · 2011
The IDA Pro Book
Le manuel de référence de Chris Eagle sur IDA Pro, le désassembleur qui a défini une génération de reverse engineering. Reste utile à l'ère Ghidra car la littérature d'analyse malware suppose encore largement IDA.
Avancé · 2009
Les virus informatiques : théorie, pratique et applications
Le livre de référence francophone d'Éric Filiol sur la virologie informatique. Théorie formelle, mécanismes d'infection, applications offensives et défensives, avec un soin académique rare sur le sujet.
Que lire ensuite
Que lire après The Art of Mac Malware, Volume 1 →Avancé · 2009
Les virus informatiques : théorie, pratique et applications
Le livre de référence francophone d'Éric Filiol sur la virologie informatique. Théorie formelle, mécanismes d'infection, applications offensives et défensives, avec un soin académique rare sur le sujet.
Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Explorer des livres similaires
Alternatives à The Art of Mac Malware, Volume 1 →Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2009
Les virus informatiques : théorie, pratique et applications
Le livre de référence francophone d'Éric Filiol sur la virologie informatique. Théorie formelle, mécanismes d'infection, applications offensives et défensives, avec un soin académique rare sur le sujet.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.