Cyber Shelf

// Comparaison

Rootkits and Bootkits vs The Art of Memory Forensics : lequel lire ?

Deux livres de cybersécurité sur Malware, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52019
Rootkits and Bootkits

Reversing Modern Malware and Next Generation Threats

Alex Matrosov, Eugene Rodionov, Sergey Bratus

Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.

Avancé
5/52014
The Art of Memory Forensics

Detecting Malware and Threats in Windows, Linux, and Mac Memory

Michael Hale Ligh, Andrew Case, Jamie Levy, AAron Walters

La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.

À lire si

Analystes malware qui doivent gérer la persistance sous-OS : rootkits kernel, bootkits MBR/UEFI, menaces basées hyperviseur. Le texte spécialiste profond dans ce coin du champ.
Incident responders, threat hunters et analystes malware qui dépassent la forensique disque pour entrer là où les attaquants modernes vivent vraiment : en mémoire, en transit, sans fichier sur disque. Aussi le manuel pour le parcours DFIR GCFA-et-au-delà.

À éviter si

Analystes malware généralistes, ou quiconque dont le travail ne touche pas aux menaces niveau firmware. Le livre est dense et suppose une fluidité Windows internals ; les lecteurs sans ce bagage galéreront.
Débutants sans bagage internals OS ; le livre suppose que vous savez ce qu'est un processus, un handle et un objet kernel. Daté aussi sur Volatility 3 — écrit pour la 2.x — bien que le matériel conceptuel se traduise proprement.

Points clés

  • Bootkits et rootkits UEFI ne sont pas théoriques ; le livre documente de vrais échantillons (LoJax, MoonBounce, classe BlackLotus) et les techniques qui les rendent détectables.
  • Secure Boot est nécessaire mais pas suffisant ; les chapitres sur les variables UEFI et la confiance SMM sont des lectures requises pour quiconque conçoit la sécurité plateforme.
  • La détection forensique des menaces sous-OS exige un tooling plateforme-spécifique ; la couverture du livre sur les pièges d'acquisition mémoire et la vérification d'intégrité est le cœur pratique.
  • La mémoire est le seul endroit où les outils post-exploitation modernes sont garantis d'être honnêtes ; le livre fait l'argument en montrant ce qu'on peut récupérer que le disque ne peut pas.
  • Les plugins Volatility sont une grammaire d'enquête — une fois les verbes connus, on peut construire les questions ; le livre est le dictionnaire de la grammaire.
  • La forensique mémoire cross-OS est un workflow avec trois dialectes ; la couverture unifiée Windows/Linux/macOS est le choix structurel sous-estimé du livre.

Comment ils se comparent

Nous notons The Art of Memory Forensics plus haut (5/5 contre 4/5 pour Rootkits and Bootkits). Pour la plupart des lecteurs, The Art of Memory Forensics est le choix principal et Rootkits and Bootkits un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Rootkits and Bootkits et The Art of Memory Forensics couvrent tous les deux Malware : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Rootkits and Bootkits

Alternatives à Rootkits and BootkitsQue lire après Rootkits and Bootkits

The Art of Memory Forensics

Alternatives à The Art of Memory ForensicsQue lire après The Art of Memory Forensics

Thématiques liées

Malware