Cyber Shelf

// Comparaison

Practical Reverse Engineering vs Windows Internals, Part 1 : lequel lire ?

Deux livres de cybersécurité sur Windows Internals, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52014
Practical Reverse Engineering

x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation

Bruce Dang, Alexandre Gazet, Elias Bachaalany

Manuel de reverser actif par trois vétérans Microsoft / Quarkslab, couvrant les architectures et la toolchain rencontrées sur de vraies cibles, dont le kernel Windows et les patterns d'obfuscation modernes.

Avancé
5/52017
Windows Internals, Part 1

System architecture, processes, threads, memory management, and more

Pavel Yosifovich, Alex Ionescu, Mark Russinovich, David Solomon

La référence Microsoft Press sur les internals Windows : comment processus, threads, mémoire et services système sont réellement implémentés dans le kernel Windows moderne. Volume orienté user mode.

À lire si

Reversers en transition de « je sais lire un disassembly » à « je sais auditer un driver kernel Windows ». Le compagnon orienté architecture de Practical Malware Analysis.
Analystes malware Windows, reverse engineers kernel, développeurs niveau OS et quiconque dont le travail sécurité exige de comprendre la plateforme en profondeur. Le nom de Russinovich est sur la couverture pour une raison ; c'est la référence canonique de ce que Windows fait vraiment.

À éviter si

Débutants sans bagage assembleur, ou lecteurs focalisés exclusivement Linux/userland. Le livre est très orienté internals Windows et suppose que vous ferez les exercices dans WinDbg.
Débutants ou lecteurs sans bagage programmation. Le livre est dense, long et suppose au minimum la fluidité avec l'API Win32. À lire après Practical Reverse Engineering, pas avant.

Points clés

  • x86, x64, ARM, debug en mode kernel et techniques anti-RE dans un seul volume cohérent ; rien d'autre ne rivalise en largeur.
  • Les chapitres kernel debugging sont l'introduction pratique que le livre officiel Windows Internals ne livre pas tout à fait pour un public sécurité.
  • La couverture anti-RE (obfuscation, packing, anti-debug, protection par virtualisation) est le pont vers l'analyse de malware moderne que PMA saute volontairement.
  • La gestion de processus, threads et mémoire sur Windows a des formes spécifiques qui ne se transfèrent pas des modèles mentaux Linux ; les chapitres sur chacun sont l'autorité canonique.
  • Object Manager et la table de handles kernel sont les deux concepts que la plupart des analystes malware regrettent de ne pas avoir compris plus tôt ; le livre est où les apprendre.
  • Les frontières de sécurité user-mode (token, ACL, niveaux d'intégrité, AppContainer) sont la couche où opèrent la plupart des exploits Windows modernes ; le livre cartographie la surface.

Comment ils se comparent

Nous notons Windows Internals, Part 1 plus haut (5/5 contre 4/5 pour Practical Reverse Engineering). Pour la plupart des lecteurs, Windows Internals, Part 1 est le choix principal et Practical Reverse Engineering un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Practical Reverse Engineering et Windows Internals, Part 1 couvrent tous les deux Windows Internals : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Reverse Engineering

Alternatives à Practical Reverse EngineeringQue lire après Practical Reverse Engineering

Windows Internals, Part 1

Alternatives à Windows Internals, Part 1Que lire après Windows Internals, Part 1

Thématiques liées

Windows Internals