Cyber Shelf

// Comparaison

Evasive Malware vs Practical Reverse Engineering : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evasive Malware

A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats

Kyle Cucci

Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.

Avancé
4/52014
Practical Reverse Engineering

x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation

Bruce Dang, Alexandre Gazet, Elias Bachaalany

Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.

À lire si

Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.
Reversers en transition de « je sais lire un disassembly » à « je sais auditer un driver kernel Windows ». Le compagnon orienté architecture de Practical Malware Analysis.

À éviter si

Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.
Débutants sans bagage assembleur, ou lecteurs focalisés exclusivement Linux/userland. Le livre est très orienté internals Windows et suppose que vous ferez les exercices dans WinDbg.

Points clés

  • Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
  • Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
  • L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.
  • x86, x64, ARM, debug en mode kernel et techniques anti-RE dans un seul volume cohérent ; rien d'autre ne rivalise en largeur.
  • Les chapitres kernel debugging sont l'introduction pratique que le livre officiel Windows Internals ne livre pas tout à fait pour un public sécurité.
  • La couverture anti-RE (obfuscation, packing, anti-debug, protection par virtualisation) est le pont vers l'analyse de malware moderne que PMA saute volontairement.

Comment ils se comparent

Evasive Malware et Practical Reverse Engineering sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Evasive Malware et Practical Reverse Engineering couvrent tous les deux Malware, Reverse Engineering : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evasive Malware

Alternatives à Evasive MalwareQue lire après Evasive Malware

Practical Reverse Engineering

Alternatives à Practical Reverse EngineeringQue lire après Practical Reverse Engineering

Thématiques liées

MalwareReverse Engineering