Cyber Shelf

// Comparaison

Practical Linux Forensics vs Practical Malware Analysis : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52021
Practical Linux Forensics

A Guide for Digital Investigators

Bruce Nikkel

La référence de Bruce Nikkel pour les analystes forensiques travaillant en post-mortem sur des images Linux : systèmes de fichiers, journalisation, logs, emplacements de persistance et la discipline chain of custody autour.

Intermédiaire
5/52012
Practical Malware Analysis

Le guide pratique pour disséquer les logiciels malveillants

Michael Sikorski, Andrew Honig

Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.

À lire si

Incident responders et analystes forensiques travaillant sur des systèmes Linux modernes. Nikkel couvre les internals ext4 / XFS / Btrfs, la journalisation systemd, les emplacements de persistance et la discipline chain-of-custody qui distingue la preuve des notes. La référence post-systemd dont le champ avait besoin.
Aspirants chercheurs en menaces, blue-teamers qui veulent lire des échantillons au lieu de les transférer à un éditeur, quiconque préparant le GREM.

À éviter si

Analystes forensiques Windows-only, ou débutants sans expérience IR. Le livre suppose la fluidité système de fichiers et le confort en ligne de commande forensique.
Malware Mac/Linux, mobile, ou loaders modernes empaquetés qui mettent en échec l'autoanalyse d'IDA. Le livre est x86 Windows dans l'esprit.

Points clés

  • La forensique Linux moderne n'est pas juste « parser syslog » ; systemd, journald et le passage aux conteneurs basés overlay ont chacun créé de nouvelles classes d'artefacts.
  • Le chapitre sur l'énumération de persistance est le plus net en imprimé ; cron, timers systemd, init.d, profile files, tous nommés.
  • La plupart des charges cloud sont Linux, ce qui signifie que la majeure partie de la forensique d'incident cloud est de la forensique Linux ; le livre est la bonne référence de départ.
  • L'analyse statique et dynamique sont deux moitiés d'un même flux de travail, pas des alternatives.
  • Les labs sont le livre, les chapitres sont l'échafaudage qui rend les labs résolubles.
  • Les techniques anti-analyse méritent plus de temps que les débutants ne leur accordent généralement.

Comment ils se comparent

Nous notons Practical Malware Analysis plus haut (5/5 contre 4/5 pour Practical Linux Forensics). Pour la plupart des lecteurs, Practical Malware Analysis est le choix principal et Practical Linux Forensics un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Practical Linux Forensics et Practical Malware Analysis couvrent tous les deux Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Linux Forensics

Alternatives à Practical Linux ForensicsQue lire après Practical Linux Forensics

Practical Malware Analysis

Alternatives à Practical Malware AnalysisQue lire après Practical Malware Analysis

Thématiques liées

Defensive