Cyber Shelf

// Comparaison

Practical Reverse Engineering vs The Art of Memory Forensics : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52014
Practical Reverse Engineering

x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation

Bruce Dang, Alexandre Gazet, Elias Bachaalany

Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.

Avancé
5/52014
The Art of Memory Forensics

Detecting Malware and Threats in Windows, Linux, and Mac Memory

Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters

La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.

À lire si

Reversers en transition de « je sais lire un disassembly » à « je sais auditer un driver kernel Windows ». Le compagnon orienté architecture de Practical Malware Analysis.
Incident responders, threat hunters et analystes malware qui dépassent la forensique disque pour entrer là où les attaquants modernes vivent vraiment : en mémoire, en transit, sans fichier sur disque. Aussi le manuel pour le parcours DFIR GCFA-et-au-delà.

À éviter si

Débutants sans bagage assembleur, ou lecteurs focalisés exclusivement Linux/userland. Le livre est très orienté internals Windows et suppose que vous ferez les exercices dans WinDbg.
Débutants sans bagage internals OS ; le livre suppose que vous savez ce qu'est un processus, un handle et un objet kernel. Daté aussi sur Volatility 3 — écrit pour la 2.x — bien que le matériel conceptuel se traduise proprement.

Points clés

  • x86, x64, ARM, debug en mode kernel et techniques anti-RE dans un seul volume cohérent ; rien d'autre ne rivalise en largeur.
  • Les chapitres kernel debugging sont l'introduction pratique que le livre officiel Windows Internals ne livre pas tout à fait pour un public sécurité.
  • La couverture anti-RE (obfuscation, packing, anti-debug, protection par virtualisation) est le pont vers l'analyse de malware moderne que PMA saute volontairement.
  • La mémoire est le seul endroit où les outils post-exploitation modernes sont garantis d'être honnêtes ; le livre fait l'argument en montrant ce qu'on peut récupérer que le disque ne peut pas.
  • Les plugins Volatility sont une grammaire d'enquête — une fois les verbes connus, on peut construire les questions ; le livre est le dictionnaire de la grammaire.
  • La forensique mémoire cross-OS est un workflow avec trois dialectes ; la couverture unifiée Windows/Linux/macOS est le choix structurel sous-estimé du livre.

Comment ils se comparent

Nous notons The Art of Memory Forensics plus haut (5/5 contre 4/5 pour Practical Reverse Engineering). Pour la plupart des lecteurs, The Art of Memory Forensics est le choix principal et Practical Reverse Engineering un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Practical Reverse Engineering et The Art of Memory Forensics couvrent tous les deux Malware : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Reverse Engineering

Alternatives à Practical Reverse EngineeringQue lire après Practical Reverse Engineering

The Art of Memory Forensics

Alternatives à The Art of Memory ForensicsQue lire après The Art of Memory Forensics

Thématiques liées

Malware