Cyber Shelf

// Comparaison

Evading EDR vs Evasive Malware : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evading EDR

Le guide définitif pour déjouer les systèmes de détection des terminaux

Matt Hand

Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.

Avancé
4/52024
Evasive Malware

A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats

Kyle Cucci

Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.

À lire si

Red teamers et ingénieurs en détection qui veulent raisonner sur l'EDR depuis le capteur, plutôt que de copier-coller le contournement à la mode.
Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.

À éviter si

Quiconque cherche une liste clé en main de contournements fonctionnels. Passez votre chemin si vous n'utilisez pas Windows ou si les internes vous rebutent.
Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.

Points clés

  • L'EDR est un ensemble de sources de télémétrie, pas un monolithe ; l'évasion suppose de savoir quelle source voit quoi.
  • Les contournements les plus durables visent la collecte de données du capteur, pas sa logique de détection.
  • Une compréhension indépendante des éditeurs survit à n'importe quel contournement précis, que les éditeurs corrigent vite.
  • Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
  • Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
  • L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.

Comment ils se comparent

Evading EDR et Evasive Malware sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Evading EDR et Evasive Malware couvrent tous les deux Malware : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evading EDR

Alternatives à Evading EDRQue lire après Evading EDR

Evasive Malware

Alternatives à Evasive MalwareQue lire après Evasive Malware

Thématiques liées

Malware