The Art of Memory Forensics
Detecting Malware and Threats in Windows, Linux, and Mac Memory
La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Publié
- 2014
- Éditeur
- Wiley
- Pages
- 912
- Langue
- English
À lire si
Incident responders, threat hunters et analystes malware qui dépassent la forensique disque pour entrer là où les attaquants modernes vivent vraiment : en mémoire, en transit, sans fichier sur disque. Aussi le manuel pour le parcours DFIR GCFA-et-au-delà.
À éviter si
Débutants sans bagage internals OS ; le livre suppose que vous savez ce qu'est un processus, un handle et un objet kernel. Daté aussi sur Volatility 3 — écrit pour la 2.x — bien que le matériel conceptuel se traduise proprement.
Points clés
- La mémoire est le seul endroit où les outils post-exploitation modernes sont garantis d'être honnêtes ; le livre fait l'argument en montrant ce qu'on peut récupérer que le disque ne peut pas.
- Les plugins Volatility sont une grammaire d'enquête — une fois les verbes connus, on peut construire les questions ; le livre est le dictionnaire de la grammaire.
- La forensique mémoire cross-OS est un workflow avec trois dialectes ; la couverture unifiée Windows/Linux/macOS est le choix structurel sous-estimé du livre.
Notes
À coupler avec Practical Malware Analysis (Sikorski/Honig) pour le complément statique-et-dynamique et avec Incident Response and Computer Forensics 3e (Mandia et al.) pour le cadre niveau engagement. La documentation Volatility Foundation et les cours SANS FOR526 / FOR508 sont les suites naturelles. La meilleure introduction imprimée à la forensique mémoire et l'un des rares livres où vous voulez vraiment faire les labs.
Que lire avant
Que lire avant The Art of Memory Forensics →Intermédiaire · 2014
Incident Response and Computer Forensics
Le playbook de travail de Luttgens, Pepe et Mandia pour mener un engagement IR d'entreprise : préparation pré-engagement, acquisition de preuves, forensique réseau et host, et la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.
Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Intermédiaire · 2015
Hacking et Forensic
Un guide français pratique pour développer ses propres outils offensifs et forensic en Python — réseau, forgeage de paquets, web et scripting forensic — pour ceux qui préfèrent écrire l'outil que l'acheter.
Que lire ensuite
Que lire après The Art of Memory Forensics →Avancé · 2024
Evading EDR
Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.
Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.
Avancé · 2009
Les virus informatiques
Le traitement académique français de référence sur la virologie informatique — théorie, algorithmes et pratique des virus et codes malveillants — par Éric Filiol, ancien cryptanalyste militaire et l'un des principaux virologues français.
Explorer des livres similaires
Alternatives à The Art of Memory Forensics →Intermédiaire · 2014
Incident Response and Computer Forensics
Le playbook de travail de Luttgens, Pepe et Mandia pour mener un engagement IR d'entreprise : préparation pré-engagement, acquisition de preuves, forensique réseau et host, et la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.
Avancé · 2024
Evading EDR
Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.
Avancé · 2024
Evasive Malware
Kyle Cucci sur la course aux armements anti-analyse : détection sandbox, anti-debug, anti-VM, packing, et le tooling et tradecraft côté analyste qui passent ces couches.