Cyber Shelf

// Comparaison

Practical Binary Analysis vs Practical Reverse Engineering : lequel lire ?

Deux livres de cybersécurité sur Reverse Engineering, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52018
Practical Binary Analysis

Build Your Own Linux Tools for Binary Instrumentation, Analysis, and Disassembly

Dennis Andriesse

Dennis Andriesse sur le toolchain binaire que vous pouvez réellement scripter : internals ELF, taint analysis dynamique, exécution symbolique et instrumentation avec des exemples concrets de code à suivre.

Avancé
4/52014
Practical Reverse Engineering

x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation

Bruce Dang, Alexandre Gazet, Elias Bachaalany

Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.

À lire si

Reverse engineers prêts à cesser d'être des clickers IDA et commencer à être des programmeurs qui se trouvent faire du RE. Andriesse couvre DBI (Pin), taint analysis (Triton) et exécution symbolique (angr) exactement au niveau dont un praticien a besoin pour les weaponiser.
Reversers en transition de « je sais lire un disassembly » à « je sais auditer un driver kernel Windows ». Le compagnon orienté architecture de Practical Malware Analysis.

À éviter si

Débutants RE qui n'ont pas encore fini Practical Reverse Engineering, ou lecteurs sans confort C et Python. Le livre suppose que vous savez déjà désassembler ; la valeur est dans la couche d'automatisation.
Débutants sans bagage assembleur, ou lecteurs focalisés exclusivement Linux/userland. Le livre est très orienté internals Windows et suppose que vous ferez les exercices dans WinDbg.

Points clés

  • Le RE moderne est du RE automatisé ; le livre est le pont entre l'analyse manuelle et le toolchain qui passe à l'échelle sur les gros binaires.
  • L'exécution symbolique est enfin accessible aux RE engineers en activité grâce à angr, et le cadrage d'Andriesse est ce qui fait cliquer pour la plupart des praticiens.
  • Les passes DBI custom résolvent une catégorie de problèmes qu'aucun outil GUI ne peut ; le livre vous apprend quand y recourir et comment les écrire.
  • x86, x64, ARM, debug en mode kernel et techniques anti-RE dans un seul volume cohérent ; rien d'autre ne rivalise en largeur.
  • Les chapitres kernel debugging sont l'introduction pratique que le livre officiel Windows Internals ne livre pas tout à fait pour un public sécurité.
  • La couverture anti-RE (obfuscation, packing, anti-debug, protection par virtualisation) est le pont vers l'analyse de malware moderne que PMA saute volontairement.

Comment ils se comparent

Nous notons Practical Binary Analysis plus haut (5/5 contre 4/5 pour Practical Reverse Engineering). Pour la plupart des lecteurs, Practical Binary Analysis est le choix principal et Practical Reverse Engineering un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Practical Binary Analysis et Practical Reverse Engineering couvrent tous les deux Reverse Engineering : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Binary Analysis

Alternatives à Practical Binary AnalysisQue lire après Practical Binary Analysis

Practical Reverse Engineering

Alternatives à Practical Reverse EngineeringQue lire après Practical Reverse Engineering

Thématiques liées

Reverse Engineering