Cyber Shelf

// Comparaison

Evasive Malware vs The Mac Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur Reverse Engineering, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52024
Evasive Malware

A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats

Kyle Cucci

Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.

Avancé
3/52009
The Mac Hacker's Handbook

Charlie Miller, Dino Dai Zovi

La plongée profonde 2009 de Charlie Miller et Dino Dai Zovi dans le paysage exploit Mac OS X — Mach-O, IPC, sandboxing tel qu'il existait alors, et les premières chaînes d'exploitation Intel-Mac.

À lire si

Analystes malware qui ont fini Practical Malware Analysis et continuent de se faire battre par des échantillons qui détectent leur sandbox. La référence actuelle sur le tradecraft anti-analyse, par un praticien sandbox-et-détection respecté.
Reverse engineers et développeurs d'exploits qui veulent la fondation historique de l'exploitation Mac, surtout comme tremplin vers The Art of Mac Malware (Wardle). Le plus utile pour l'échafaudage conceptuel autour de Mach, des runtimes Objective-C et de l'IPC, qui sont encore porteurs sur macOS moderne.

À éviter si

Débutants. Cucci suppose que vous savez déjà monter un sandbox, faire de l'analyse statique et dynamique et lire de l'assembleur ; le livre prend la suite là où PMA s'arrête.
Quiconque a besoin du tradecraft actuel Apple Silicon, Hardened Runtime, System Integrity Protection, Endpoint Security ou évasion sandbox moderne. Le livre est macOS pré-iPhone en esprit ; 2009 était une autre planète.

Points clés

  • Les checks anti-VM et anti-sandbox tournent maintenant en première instruction de la plupart des échantillons ; le livre catalogue les patterns dominants et comment les neutraliser.
  • Les packers modernes sont conceptuellement simples mais opérationnellement exigeants ; le cadrage de Cucci de l'unpacking-comme-émulation-en-étapes est le plus net en imprimé.
  • L'obfuscation de flux de contrôle (opaque predicates, protections basées virtualisation) est le problème actuel le plus dur de l'analyste ; les chapitres là-dessus justifient le livre à eux seuls.
  • Le matériel conceptuel (Mach, IPC, Mach-O, dispatch Objective-C) se généralise au macOS moderne ; les exploits spécifiques non.
  • L'essentiel de la valeur est de l'archéologie historique — savoir pourquoi le sandbox macOS et SIP existent est bien plus facile après ce livre.
  • À coupler avec le matériel Wardle actuel et l'Apple Platform Security pour tout usage opérationnel ; traitez ceci comme lecture de fond.

Comment ils se comparent

Nous notons Evasive Malware plus haut (4/5 contre 3/5 pour The Mac Hacker's Handbook). Pour la plupart des lecteurs, Evasive Malware est le choix principal et The Mac Hacker's Handbook un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Evasive Malware et The Mac Hacker's Handbook couvrent tous les deux Reverse Engineering : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Evasive Malware

Alternatives à Evasive MalwareQue lire après Evasive Malware

The Mac Hacker's Handbook

Alternatives à The Mac Hacker's HandbookQue lire après The Mac Hacker's Handbook

Thématiques liées

Reverse Engineering