Cyber Shelf

// Comparaison

Evasive Malware vs Rootkits and Bootkits : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evasive Malware

A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats

Kyle Cucci

Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.

Avancé
4/52019
Rootkits and Bootkits

Reversing Modern Malware and Next Generation Threats

Alex Matrosov, Eugene Rodionov, Sergey Bratus

Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.

À lire si

Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.
Analystes malware qui doivent gérer la persistance sous-OS : rootkits kernel, bootkits MBR/UEFI, menaces basées hyperviseur. Le texte spécialiste profond dans ce coin du champ.

À éviter si

Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.
Analystes malware généralistes, ou quiconque dont le travail ne touche pas aux menaces niveau firmware. Le livre est dense et suppose une fluidité Windows internals ; les lecteurs sans ce bagage galéreront.

Points clés

  • Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
  • Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
  • L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.
  • Bootkits et rootkits UEFI ne sont pas théoriques ; le livre documente de vrais échantillons (LoJax, MoonBounce, classe BlackLotus) et les techniques qui les rendent détectables.
  • Secure Boot est nécessaire mais pas suffisant ; les chapitres sur les variables UEFI et la confiance SMM sont des lectures requises pour quiconque conçoit la sécurité plateforme.
  • La détection forensique des menaces sous-OS exige un tooling plateforme-spécifique ; la couverture du livre sur les pièges d'acquisition mémoire et la vérification d'intégrité est le cœur pratique.

Comment ils se comparent

Evasive Malware et Rootkits and Bootkits sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Evasive Malware et Rootkits and Bootkits couvrent tous les deux Malware, Reverse Engineering : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evasive Malware

Alternatives à Evasive MalwareQue lire après Evasive Malware

Rootkits and Bootkits

Alternatives à Rootkits and BootkitsQue lire après Rootkits and Bootkits

Thématiques liées

MalwareReverse Engineering