Cyber Shelf

// Comparaison

Evading EDR vs Windows Security Internals : lequel lire ?

Deux livres de cybersécurité sur Offensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evading EDR

Le guide définitif pour déjouer les systèmes de détection des terminaux

Matt Hand

Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.

Avancé
5/52024
Windows Security Internals

Une plongée en profondeur dans l'authentification, l'autorisation et l'audit Windows

James Forshaw

Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.

À lire si

Red teamers et ingénieurs en détection qui veulent raisonner sur l'EDR depuis le capteur, plutôt que de copier-coller le contournement à la mode.
Chercheurs en vulnérabilités, red teamers et ingénieurs sécurité plateforme qui ont besoin d'une vérité de terrain sur les jetons, les descripteurs de sécurité, l'ouverture de session et le moniteur de référence de sécurité du noyau.

À éviter si

Quiconque cherche une liste clé en main de contournements fonctionnels. Passez votre chemin si vous n'utilisez pas Windows ou si les internes vous rebutent.
Quiconque cherche une vue d'ensemble de haut niveau ou un guide défensif. Il s'agit de mécanismes, pas de politique, et le livre suppose que vous voulez lire du SDDL à la main.

Points clés

  • L'EDR est un ensemble de sources de télémétrie, pas un monolithe ; l'évasion suppose de savoir quelle source voit quoi.
  • Les contournements les plus durables visent la collecte de données du capteur, pas sa logique de détection.
  • Une compréhension indépendante des éditeurs survit à n'importe quel contournement précis, que les éditeurs corrigent vite.
  • L'autorisation Windows forme un système cohérent unique dès qu'on voit le SRM, les jetons et les descripteurs de sécurité comme un seul pipeline.
  • La boîte à outils PowerShell NtObjectManager de l'auteur transforme la théorie abstraite de la sécurité en quelque chose que l'on peut manipuler de façon interactive.
  • La plupart des bugs d'élévation de privilèges Windows viennent d'une mauvaise compréhension de ce modèle, pas d'une corruption mémoire exotique.

Comment ils se comparent

Nous notons Windows Security Internals plus haut (5/5 contre 4/5 pour Evading EDR). Pour la plupart des lecteurs, Windows Security Internals est le choix principal et Evading EDR un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Evading EDR et Windows Security Internals couvrent tous les deux Offensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evading EDR

Alternatives à Evading EDRQue lire après Evading EDR

Windows Security Internals

Alternatives à Windows Security InternalsQue lire après Windows Security Internals

Thématiques liées

Offensive