Cyber Shelf

// Comparaison

Rootkits and Bootkits vs Windows Internals, Part 1 : lequel lire ?

Deux livres de cybersécurité sur Windows Internals, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
4/52019
Rootkits and Bootkits

Reversing Modern Malware and Next Generation Threats

Alex Matrosov, Eugene Rodionov, Sergey Bratus

Matrosov, Rodionov et Bratus sur les malwares persistants profondément ancrés : rootkits kernel, bootkits MBR/UEFI, et les techniques forensiques qui les font remonter. Très orienté Windows internals.

Avancé
5/52017
Windows Internals, Part 1

System architecture, processes, threads, memory management, and more

Pavel Yosifovich, Alex Ionescu, Mark Russinovich, David Solomon

La référence Microsoft Press sur les internals Windows : comment processus, threads, mémoire et services système sont réellement implémentés dans le kernel Windows moderne. Volume orienté user mode.

À lire si

Analystes malware qui doivent gérer la persistance sous-OS : rootkits kernel, bootkits MBR/UEFI, menaces basées hyperviseur. Le texte spécialiste profond dans ce coin du champ.
Analystes malware Windows, reverse engineers kernel, développeurs niveau OS et quiconque dont le travail sécurité exige de comprendre la plateforme en profondeur. Le nom de Russinovich est sur la couverture pour une raison ; c'est la référence canonique de ce que Windows fait vraiment.

À éviter si

Analystes malware généralistes, ou quiconque dont le travail ne touche pas aux menaces niveau firmware. Le livre est dense et suppose une fluidité Windows internals ; les lecteurs sans ce bagage galéreront.
Débutants ou lecteurs sans bagage programmation. Le livre est dense, long et suppose au minimum la fluidité avec l'API Win32. À lire après Practical Reverse Engineering, pas avant.

Points clés

  • Bootkits et rootkits UEFI ne sont pas théoriques ; le livre documente de vrais échantillons (LoJax, MoonBounce, classe BlackLotus) et les techniques qui les rendent détectables.
  • Secure Boot est nécessaire mais pas suffisant ; les chapitres sur les variables UEFI et la confiance SMM sont des lectures requises pour quiconque conçoit la sécurité plateforme.
  • La détection forensique des menaces sous-OS exige un tooling plateforme-spécifique ; la couverture du livre sur les pièges d'acquisition mémoire et la vérification d'intégrité est le cœur pratique.
  • La gestion de processus, threads et mémoire sur Windows a des formes spécifiques qui ne se transfèrent pas des modèles mentaux Linux ; les chapitres sur chacun sont l'autorité canonique.
  • Object Manager et la table de handles kernel sont les deux concepts que la plupart des analystes malware regrettent de ne pas avoir compris plus tôt ; le livre est où les apprendre.
  • Les frontières de sécurité user-mode (token, ACL, niveaux d'intégrité, AppContainer) sont la couche où opèrent la plupart des exploits Windows modernes ; le livre cartographie la surface.

Comment ils se comparent

Nous notons Windows Internals, Part 1 plus haut (5/5 contre 4/5 pour Rootkits and Bootkits). Pour la plupart des lecteurs, Windows Internals, Part 1 est le choix principal et Rootkits and Bootkits un complément utile.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Rootkits and Bootkits et Windows Internals, Part 1 couvrent tous les deux Windows Internals : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Rootkits and Bootkits

Alternatives à Rootkits and BootkitsQue lire après Rootkits and Bootkits

Windows Internals, Part 1

Alternatives à Windows Internals, Part 1Que lire après Windows Internals, Part 1

Thématiques liées

Windows Internals