Cyber Shelf

// Comparaison

Attacking Network Protocols vs Evading EDR : lequel lire ?

Deux livres de cybersécurité sur Offensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52017
Attacking Network Protocols

A Hacker's Guide to Capture, Analysis, and Exploitation

James Forshaw

James Forshaw, vétéran de Project Zero, sur comment capturer, parser et casser les protocoles depuis le wire jusqu'à la couche application, avec un fort focus sur la construction d'un tooling d'analyse réutilisable.

Avancé
4/52024
Evading EDR

Le guide définitif pour déjouer les systèmes de détection des terminaux

Matt Hand

Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.

À lire si

Quiconque a besoin de comprendre le trafic, pas juste de le voir. Forshaw est le rare vétéran Project Zero qui sait aussi enseigner ; le livre transforme l'analyse de protocoles réseau en un art apprenable.
Red teamers et ingénieurs en détection qui veulent raisonner sur l'EDR depuis le capteur, plutôt que de copier-coller le contournement à la mode.

À éviter si

Débutants qui n'ont pas encore manipulé un pcap, ou lecteurs qui ne veulent que HTTP/web. Le livre couvre la couche 2 jusqu'à RPC niveau application, et la valeur compose plus vous allez profond.
Quiconque cherche une liste clé en main de contournements fonctionnels. Passez votre chemin si vous n'utilisez pas Windows ou si les internes vous rebutent.

Points clés

  • Capturer, parser et rejouer le trafic est un seul workflow, pas trois, et le cadrage tooling-d'abord de Forshaw rend cela explicite.
  • L'audit de protocoles custom (la partie que les curricula sécurité sautent) est la partie du livre qui rembourse le plus, surtout pour embarqué, OT et stacks propriétaires.
  • Les chapitres « construis ton propre outil d'analyse réseau » enseignent plus sur comment les protocoles fonctionnent réellement que toute leçon Wireshark.
  • L'EDR est un ensemble de sources de télémétrie, pas un monolithe ; l'évasion suppose de savoir quelle source voit quoi.
  • Les contournements les plus durables visent la collecte de données du capteur, pas sa logique de détection.
  • Une compréhension indépendante des éditeurs survit à n'importe quel contournement précis, que les éditeurs corrigent vite.

Comment ils se comparent

Nous notons Attacking Network Protocols plus haut (5/5 contre 4/5 pour Evading EDR). Pour la plupart des lecteurs, Attacking Network Protocols est le choix principal et Evading EDR un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Attacking Network Protocols et Evading EDR couvrent tous les deux Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Attacking Network Protocols

Alternatives à Attacking Network ProtocolsQue lire après Attacking Network Protocols

Evading EDR

Alternatives à Evading EDRQue lire après Evading EDR

Thématiques liées

Offensive