Practical Malware Analysis
Le guide pratique pour disséquer les logiciels malveillants
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Michael Sikorski,Andrew Honig
- Publié
- 2012
- Éditeur
- No Starch Press
- Pages
- 800
- Langue
- English
Table des matières
21 chapitres · 41 sectionsPartie I : Analyse de base
- 1
Basic Static Techniques
- Antivirus scanning
- Hashing: a fingerprint for malware
- Finding strings
- Packed and obfuscated malware
- Portable Executable file format
- Linked libraries and functions
- 2
Malware Analysis in Virtual Machines
- The structure of a virtual machine
- Creating your malware analysis machine
- Using your malware analysis machine
- The risks of using VMware for malware analysis
- 3
Basic Dynamic Analysis
- Sandboxes: the quick-and-dirty approach
- Running malware
- Monitoring with Process Monitor
- Viewing processes with Process Explorer
- Comparing registry snapshots with Regshot
- Faking a network
- Packet sniffing with Wireshark
Partie II : Analyse statique avancée
- 4
A Crash Course in x86 Disassembly
- Levels of abstraction
- Reverse-engineering
- The x86 architecture
- Main memory
- Instructions
- Opcodes and endianness
- Operands
- Registers
- Simple instructions
- The stack
- Conditionals, branching, rep instructions
- 5
IDA Pro
- Loading an executable
- The IDA Pro interface
- Using cross-references
- Analyzing functions
- Using graphing options
- Enhancing disassembly
- Extending IDA with plug-ins
- 6
Recognizing C Code Constructs in Assembly
- 7
Analyzing Malicious Windows Programs
Partie III : Analyse dynamique avancée
- 8
Debugging
- 9
OllyDbg
- 10
Kernel Debugging with WinDbg
Partie IV : Fonctionnalités des malwares
- 11
Malware Behavior
- Downloaders and launchers
- Backdoors
- Credential stealers
- Persistence mechanisms
- Privilege escalation
- User-mode rootkits
- 12
Covert Malware Launching
- 13
Data Encoding
- 14
Malware-Focused Network Signatures
Partie V : Anti-rétro-ingénierie
- 15
Anti-Disassembly
- 16
Anti-Debugging
- 17
Anti-Virtual Machine Techniques
Partie VI : Sujets spéciaux
- 18
Packers and Unpacking
- 19
Shellcode Analysis
- 20
C++ Analysis
- 21
64-Bit Malware
Prérequis
Familiarité avec les bases de l'assembleur x86 et les internals Windows. Chaque chapitre se termine par des labs, faites-les, ne les sautez pas.
À lire si
Aspirants chercheurs en menaces, blue-teamers qui veulent lire des échantillons au lieu de les transférer à un éditeur, quiconque préparant le GREM.
À éviter si
Malware Mac/Linux, mobile, ou loaders modernes empaquetés qui mettent en échec l'autoanalyse d'IDA. Le livre est x86 Windows dans l'esprit.
Points clés
- L'analyse statique et dynamique sont deux moitiés d'un même flux de travail, pas des alternatives.
- Les labs sont le livre, les chapitres sont l'échafaudage qui rend les labs résolubles.
- Les techniques anti-analyse méritent plus de temps que les débutants ne leur accordent généralement.
Notes
Les labs sont ce qui sépare ce livre de tout autre livre de RE. Vous lisez une technique, la voyez dans un échantillon réaliste, vous battez avec pendant une heure, puis lisez la réponse. À la fin, vous avez construit des réflexes, pas seulement des connaissances. Daté sur les malwares .NET et les chaînes de loaders modernes, mais la posture diagnostique se généralise proprement.
Que lire avant
Que lire avant Practical Malware Analysis →Débutant · 2019
Foundations of Information Security
Le tour compact de Jason Andress du champ : confidentialité / intégrité / disponibilité, identification et authentification, contrôles réseau et OS, écrit pour nouveaux venus et disciplines adjacentes.
Débutant · 2021
How Cybersecurity Really Works
L'introduction douce et exercice-driven de Sam Grubb pour non-spécialistes qui ont besoin d'un modèle mental fonctionnel du comportement attaquant et d'une défense basique.
Débutant · 2014
Countdown to Zero Day
La reconstruction journalistique de Stuxnet par Kim Zetter : opération conjointe US/Israël qui a physiquement endommagé les centrifugeuses d'enrichissement iraniennes via un ver, et ce que sa découverte a révélé sur la capacité cyber étatique.
Que lire ensuite
Que lire après Practical Malware Analysis →Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2009
Les virus informatiques
Le traitement académique français de référence sur la virologie informatique — théorie, algorithmes et pratique des virus et codes malveillants — par Éric Filiol, ancien cryptanalyste militaire et l'un des principaux virologues français.
Avancé · 2014
Practical Reverse Engineering
Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.
Explorer des livres similaires
Alternatives à Practical Malware Analysis →Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2022
The Art of Mac Malware, Volume 1
La plongée profonde de Patrick Wardle sur l'analyse de malware macOS : patterns de persistance, techniques d'injection, astuces anti-analyse et le tooling macOS-spécifique nécessaire pour trier de vrais échantillons.
Avancé · 2019
Rootkits and Bootkits
Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.