Cyber Shelf

// Comparaison

Evasive Malware vs Practical Malware Analysis : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evasive Malware

A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats

Kyle Cucci

Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.

Intermédiaire
5/52012
Practical Malware Analysis

Le guide pratique pour disséquer les logiciels malveillants

Michael Sikorski, Andrew Honig

Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.

À lire si

Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.
Aspirants chercheurs en menaces, blue-teamers qui veulent lire des échantillons au lieu de les transférer à un éditeur, quiconque préparant le GREM.

À éviter si

Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.
Malware Mac/Linux, mobile, ou loaders modernes empaquetés qui mettent en échec l'autoanalyse d'IDA. Le livre est x86 Windows dans l'esprit.

Points clés

  • Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
  • Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
  • L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.
  • L'analyse statique et dynamique sont deux moitiés d'un même flux de travail, pas des alternatives.
  • Les labs sont le livre, les chapitres sont l'échafaudage qui rend les labs résolubles.
  • Les techniques anti-analyse méritent plus de temps que les débutants ne leur accordent généralement.

Comment ils se comparent

Nous notons Practical Malware Analysis plus haut (5/5 contre 4/5 pour Evasive Malware). Pour la plupart des lecteurs, Practical Malware Analysis est le choix principal et Evasive Malware un complément utile.

Evasive Malware vise le niveau avancé. Practical Malware Analysis vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Evasive Malware et Practical Malware Analysis couvrent tous les deux Malware, Reverse Engineering, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evasive Malware

Alternatives à Evasive MalwareQue lire après Evasive Malware

Practical Malware Analysis

Alternatives à Practical Malware AnalysisQue lire après Practical Malware Analysis

Thématiques liées

MalwareReverse EngineeringDefensive