Cyber Shelf

// Comparaison

The Art of Mac Malware, Volume 1 vs Evasive Malware : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52022
The Art of Mac Malware, Volume 1

The Guide to Analyzing Malicious Software

Patrick Wardle

La plongée profonde de Patrick Wardle sur l'analyse de malware macOS : patterns de persistance, techniques d'injection, astuces anti-analyse et le tooling macOS-spécifique nécessaire pour trier de vrais échantillons.

Avancé
4/52024
Evasive Malware

A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats

Kyle Cucci

Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.

À lire si

Analystes malware qui doivent gérer des échantillons macOS et n'ont travaillé que Windows jusqu'ici. Le seul livre sérieux en imprimé sur le malware Mac, par le praticien le plus en vue du champ.
Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.

À éviter si

Analystes qui ne voient pas macOS dans leur pipeline. Les spécificités plateforme (Mach-O, code signing, TCC, XPC, launch agents) sont non transférables à d'autres systèmes d'exploitation.
Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.

Points clés

  • L'analyse Mach-O diffère de l'analyse PE de manière non triviale ; les chapitres sur entitlements, code signing et notarization sont la fondation pratique.
  • La persistance macOS a sa propre taxonomie (LaunchAgents, LaunchDaemons, login items, period plists, dylib hijacks) ; l'apprendre est la moitié du travail de l'analyste.
  • Le propre tooling d'Apple (Console.app, sample, fs_usage, Endpoint Security framework) est le bon kit de départ pour le triage ; le cadrage de Wardle est le plus net en imprimé.
  • Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
  • Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
  • L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.

Comment ils se comparent

The Art of Mac Malware, Volume 1 et Evasive Malware sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

The Art of Mac Malware, Volume 1 et Evasive Malware couvrent tous les deux Malware, Reverse Engineering : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

The Art of Mac Malware, Volume 1

Alternatives à The Art of Mac Malware, Volume 1Que lire après The Art of Mac Malware, Volume 1

Evasive Malware

Alternatives à Evasive MalwareQue lire après Evasive Malware

Thématiques liées

MalwareReverse Engineering