Cyber Shelf

// Comparaison

Windows Internals, Part 1 vs Windows Security Internals : lequel lire ?

Deux livres de cybersécurité sur Windows Internals, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Avancé
5/52017
Windows Internals, Part 1

System architecture, processes, threads, memory management, and more

Pavel Yosifovich, Alex Ionescu, Mark Russinovich, David Solomon

La référence Microsoft Press sur les internals Windows : comment processus, threads, mémoire et services système sont réellement implémentés dans le kernel Windows moderne. Volume orienté user mode.

Avancé
5/52024
Windows Security Internals

Une plongée en profondeur dans l'authentification, l'autorisation et l'audit Windows

James Forshaw

Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.

À lire si

Analystes malware Windows, reverse engineers kernel, développeurs niveau OS et quiconque dont le travail sécurité exige de comprendre la plateforme en profondeur. Le nom de Russinovich est sur la couverture pour une raison ; c'est la référence canonique de ce que Windows fait vraiment.
Chercheurs en vulnérabilités, red teamers et ingénieurs sécurité plateforme qui ont besoin d'une vérité de terrain sur les jetons, les descripteurs de sécurité, l'ouverture de session et le moniteur de référence de sécurité du noyau.

À éviter si

Débutants ou lecteurs sans bagage programmation. Le livre est dense, long et suppose au minimum la fluidité avec l'API Win32. À lire après Practical Reverse Engineering, pas avant.
Quiconque cherche une vue d'ensemble de haut niveau ou un guide défensif. Il s'agit de mécanismes, pas de politique, et le livre suppose que vous voulez lire du SDDL à la main.

Points clés

  • La gestion de processus, threads et mémoire sur Windows a des formes spécifiques qui ne se transfèrent pas des modèles mentaux Linux ; les chapitres sur chacun sont l'autorité canonique.
  • Object Manager et la table de handles kernel sont les deux concepts que la plupart des analystes malware regrettent de ne pas avoir compris plus tôt ; le livre est où les apprendre.
  • Les frontières de sécurité user-mode (token, ACL, niveaux d'intégrité, AppContainer) sont la couche où opèrent la plupart des exploits Windows modernes ; le livre cartographie la surface.
  • L'autorisation Windows forme un système cohérent unique dès qu'on voit le SRM, les jetons et les descripteurs de sécurité comme un seul pipeline.
  • La boîte à outils PowerShell NtObjectManager de l'auteur transforme la théorie abstraite de la sécurité en quelque chose que l'on peut manipuler de façon interactive.
  • La plupart des bugs d'élévation de privilèges Windows viennent d'une mauvaise compréhension de ce modèle, pas d'une corruption mémoire exotique.

Comment ils se comparent

Windows Internals, Part 1 et Windows Security Internals sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau avancé : le choix se fait sur la thématique, pas la difficulté.

Windows Internals, Part 1 et Windows Security Internals couvrent tous les deux Windows Internals : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Windows Internals, Part 1

Alternatives à Windows Internals, Part 1Que lire après Windows Internals, Part 1

Windows Security Internals

Alternatives à Windows Security InternalsQue lire après Windows Security Internals

Thématiques liées

Windows Internals