Cyber Shelf

// Comparaison

Practical Malware Analysis vs The Ghidra Book : lequel lire ?

Deux livres de cybersécurité sur Reverse Engineering, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52012
Practical Malware Analysis

Le guide pratique pour disséquer les logiciels malveillants

Michael Sikorski, Andrew Honig

Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.

Intermédiaire
4/52020
The Ghidra Book

Le guide définitif

Chris Eagle, Kara Nance

Le manuel de référence du désassembleur open source de la NSA, écrit par l'auteur de The IDA Pro Book. Exhaustif sur l'outil, plus mince sur l'art du reverse engineering lui-même.

À lire si

Aspirants chercheurs en menaces, blue-teamers qui veulent lire des échantillons au lieu de les transférer à un éditeur, quiconque préparant le GREM.
Les praticiens qui migrent depuis IDA ou débutent sur Ghidra et veulent une couverture complète de l'interface, du décompilateur, du scripting et de l'API d'extension.

À éviter si

Malware Mac/Linux, mobile, ou loaders modernes empaquetés qui mettent en échec l'autoanalyse d'IDA. Le livre est x86 Windows dans l'esprit.
Passez votre chemin si vous cherchez un tutoriel sur la manière de réellement rétro-ingénier un malware. Il documente l'outil en profondeur mais déroule rarement une vraie cible de bout en bout.

Points clés

  • L'analyse statique et dynamique sont deux moitiés d'un même flux de travail, pas des alternatives.
  • Les labs sont le livre, les chapitres sont l'échafaudage qui rend les labs résolubles.
  • Les techniques anti-analyse méritent plus de temps que les débutants ne leur accordent généralement.
  • Le modèle de projet collaboratif de Ghidra et son analyseur headless sont de véritables atouts face aux outils mono-utilisateur, et le livre couvre les deux correctement.
  • Le décompilateur est la raison d'utiliser Ghidra, et les chapitres sur la lecture et l'amélioration de sa sortie sont les plus utiles du livre.
  • La vraie puissance vient du scripting et de l'écriture d'extensions ; prévoyez du temps pour les chapitres sur l'API Java/Python, car c'est là que l'outil cesse d'être une simple interface graphique.

Comment ils se comparent

Nous notons Practical Malware Analysis plus haut (5/5 contre 4/5 pour The Ghidra Book). Pour la plupart des lecteurs, Practical Malware Analysis est le choix principal et The Ghidra Book un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Practical Malware Analysis et The Ghidra Book couvrent tous les deux Reverse Engineering : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Malware Analysis

Alternatives à Practical Malware AnalysisQue lire après Practical Malware Analysis

The Ghidra Book

Alternatives à The Ghidra BookQue lire après The Ghidra Book

Thématiques liées

Reverse Engineering