病毒分析的经典基础必读书籍

hjy
2017-10-04 21:48:29

去年看的这本书,当时才开始搞二进制,只是觉得还行,并不觉得有特别好。工作以后才发现这玩意真的写得挺不错,我说这么几个事情来证明一下。

1.前两个月黑客渗透进FireEye旗下公司Mandiant内网窃取了一波资料,当时同事做了一个泄漏出来文档的分析,我瞟了一眼,里面有ApateDNS,同事没用过这个,误以为是FireEye的内部工具,还详细分析了一下用法。我赶紧给老大提了一下,这玩意不是什么稀奇的东西,FireEye早就公布给大家用了。当然报告最后没有对外发,不然就闹了笑话了。我为什么知道这个工具呢?因为这本书提过。这本书里面提的工具都用的非常6了一般的病毒分析起来也就比较熟练了。

2.一个多月以前Xshell后门的事情,那几天确实把我搞得焦头烂额,真的没见过这么复杂的。后来又分析了一两个类似的样本,才了解到Xshell后门其实就是plugX的变种,在Xshell后门中的对抗反汇编算法的技巧和反调试的技巧等等这本书里面都提过,确实讲的东西非常实用。知识点也非常全:脱壳,反调试,反虚拟机,对抗反汇编,x86/x64汇编,IDA,windbg,双机调试,C/C++反汇编……虽然有些知识已经过时,比如双机调试早就可以用VirtualKD轻松设置,还有一些只有XP上才有的特性

...
显示全文

去年看的这本书,当时才开始搞二进制,只是觉得还行,并不觉得有特别好。工作以后才发现这玩意真的写得挺不错,我说这么几个事情来证明一下。

1.前两个月黑客渗透进FireEye旗下公司Mandiant内网窃取了一波资料,当时同事做了一个泄漏出来文档的分析,我瞟了一眼,里面有ApateDNS,同事没用过这个,误以为是FireEye的内部工具,还详细分析了一下用法。我赶紧给老大提了一下,这玩意不是什么稀奇的东西,FireEye早就公布给大家用了。当然报告最后没有对外发,不然就闹了笑话了。我为什么知道这个工具呢?因为这本书提过。这本书里面提的工具都用的非常6了一般的病毒分析起来也就比较熟练了。

2.一个多月以前Xshell后门的事情,那几天确实把我搞得焦头烂额,真的没见过这么复杂的。后来又分析了一两个类似的样本,才了解到Xshell后门其实就是plugX的变种,在Xshell后门中的对抗反汇编算法的技巧和反调试的技巧等等这本书里面都提过,确实讲的东西非常实用。知识点也非常全:脱壳,反调试,反虚拟机,对抗反汇编,x86/x64汇编,IDA,windbg,双机调试,C/C++反汇编……虽然有些知识已经过时,比如双机调试早就可以用VirtualKD轻松设置,还有一些只有XP上才有的特性也没太大的意义了,但是还是有很多知识是不会过时的。

3.我在看zerosum0x0分析doublepulsar shellcode的博客时,有人问他怎么才能像他一样NB,他推荐了这本书。大神推荐的不会错。

当然缺点也不是没有,除了内容有点过时(当然这个确实没办法,除非出个第二版)之外,课后习题解答的篇幅稍多,翻译夹带私货等也都是比较突出的问题。无论如何,这些缺点也并不影响它成为如今病毒分析的经典基础必读书籍的地位。

1
0

查看更多豆瓣高分好书

回应(0)

添加回应

恶意代码分析实战的更多书评

推荐恶意代码分析实战的豆列

了解更多图书信息

豆瓣正在热议

豆瓣
我们的精神角落
免费下载 iOS / Android 版客户端
App 内打开