Practical Malware Analysis
Le guide pratique pour disséquer les logiciels malveillants
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Michael Sikorski,Andrew Honig
- Publié
- 2012
- Éditeur
- No Starch Press
- Pages
- 800
- Langue
- English
Table des matières
21 chapitres · 41 sectionsPartie I : Analyse de base
- 1
Basic Static Techniques
- Antivirus scanning
- Hashing: a fingerprint for malware
- Finding strings
- Packed and obfuscated malware
- Portable Executable file format
- Linked libraries and functions
- 2
Malware Analysis in Virtual Machines
- The structure of a virtual machine
- Creating your malware analysis machine
- Using your malware analysis machine
- The risks of using VMware for malware analysis
- 3
Basic Dynamic Analysis
- Sandboxes: the quick-and-dirty approach
- Running malware
- Monitoring with Process Monitor
- Viewing processes with Process Explorer
- Comparing registry snapshots with Regshot
- Faking a network
- Packet sniffing with Wireshark
Partie II : Analyse statique avancée
- 4
A Crash Course in x86 Disassembly
- Levels of abstraction
- Reverse-engineering
- The x86 architecture
- Main memory
- Instructions
- Opcodes and endianness
- Operands
- Registers
- Simple instructions
- The stack
- Conditionals, branching, rep instructions
- 5
IDA Pro
- Loading an executable
- The IDA Pro interface
- Using cross-references
- Analyzing functions
- Using graphing options
- Enhancing disassembly
- Extending IDA with plug-ins
- 6
Recognizing C Code Constructs in Assembly
- 7
Analyzing Malicious Windows Programs
Partie III : Analyse dynamique avancée
- 8
Debugging
- 9
OllyDbg
- 10
Kernel Debugging with WinDbg
Partie IV : Fonctionnalités des malwares
- 11
Malware Behavior
- Downloaders and launchers
- Backdoors
- Credential stealers
- Persistence mechanisms
- Privilege escalation
- User-mode rootkits
- 12
Covert Malware Launching
- 13
Data Encoding
- 14
Malware-Focused Network Signatures
Partie V : Anti-rétro-ingénierie
- 15
Anti-Disassembly
- 16
Anti-Debugging
- 17
Anti-Virtual Machine Techniques
Partie VI : Sujets spéciaux
- 18
Packers and Unpacking
- 19
Shellcode Analysis
- 20
C++ Analysis
- 21
64-Bit Malware
Prérequis
Familiarité avec les bases de l'assembleur x86 et les internals Windows. Chaque chapitre se termine par des labs, faites-les, ne les sautez pas.
À lire si
Aspirants chercheurs en menaces, blue-teamers qui veulent lire des échantillons au lieu de les transférer à un éditeur, quiconque préparant le GREM.
À éviter si
Malware Mac/Linux, mobile, ou loaders modernes empaquetés qui mettent en échec l'autoanalyse d'IDA. Le livre est x86 Windows dans l'esprit.
Points clés
- L'analyse statique et dynamique sont deux moitiés d'un même flux de travail, pas des alternatives.
- Les labs sont le livre, les chapitres sont l'échafaudage qui rend les labs résolubles.
- Les techniques anti-analyse méritent plus de temps que les débutants ne leur accordent généralement.
Notes
Les labs sont ce qui sépare ce livre de tout autre livre de RE. Vous lisez une technique, la voyez dans un échantillon réaliste, vous battez avec pendant une heure, puis lisez la réponse. À la fin, vous avez construit des réflexes, pas seulement des connaissances. Daté sur les malwares .NET et les chaînes de loaders modernes, mais la posture diagnostique se généralise proprement.
Que lire avant
Que lire avant Practical Malware Analysis →Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Débutant · 2021
How Cybersecurity Really Works
L'introduction douce et exercice-driven de Sam Grubb pour non-spécialistes qui ont besoin d'un modèle mental fonctionnel du comportement attaquant et d'une défense basique.
Débutant · 2014
Countdown to Zero Day
La reconstruction journalistique de Stuxnet par Kim Zetter : opération conjointe US/Israël qui a physiquement endommagé les centrifugeuses d'enrichissement iraniennes via un ver, et ce que sa découverte a révélé sur la capacité cyber étatique.
Que lire ensuite
Que lire après Practical Malware Analysis →Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2007
Techniques virales avancées
Suite spécialisée des Virus informatiques de Filiol. Plonge dans les techniques avancées d'attaque par code malveillant et leur analyse défensive.
Avancé · 2009
Les virus informatiques : théorie, pratique et applications
Le livre de référence francophone d'Éric Filiol sur la virologie informatique. Théorie formelle, mécanismes d'infection, applications offensives et défensives, avec un soin académique rare sur le sujet.
Explorer des livres similaires
Alternatives à Practical Malware Analysis →Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2007
Techniques virales avancées
Suite spécialisée des Virus informatiques de Filiol. Plonge dans les techniques avancées d'attaque par code malveillant et leur analyse défensive.
Avancé · 2009
Les virus informatiques : théorie, pratique et applications
Le livre de référence francophone d'Éric Filiol sur la virologie informatique. Théorie formelle, mécanismes d'infection, applications offensives et défensives, avec un soin académique rare sur le sujet.