Tuesday, January 5, 2010

Livro Recomendado: Malware Forensics - Investigating and Analyzing Malicious Code


Livro muito interessante que mostra, através de forte embasamento teórico e de exemplos práticos, como realizar uma análise pericial em Malwares. Os autores, principalmente o Eoghan Casey, são bastante experientes nessa área e conseguiram preparar um material realmente de qualidade, para análise de malwares em ambientes Windows e Linux.

Está dividido em 10 capítulos:

Capítulo 1 - Coleta e Análise de dados voláteis em Sistemas Windows, através do uso de ferramentas para coleta e mapeamento de processos, usuários logados, dump de memória, conexões de rede, arquivos abertos, entre outros.

Capítulo 2 - Coleta e Análise de dados voláteis em Sistemas Linux, com a mesma abordagem do capítulo 1, porém relacionada ao ambiente Linux.

Capítulo 3 - Análise de dumps de Memória e Processos à procura de artefatos maliciosos. A organização da memória, tanto no ambiente Windows quanto no Linux, é dissecada neste capítulo.

Capítulos 4 e 5 - Relativos à análise Post-Mortem de sistemas Windows e Linux, respectivamente. Nestes capítulos são apresentadas as técnicas para análise dos dados coletados na fase inicial de uma resposta a incidentes. Sistemas de Arquivos, Registry, Usuários, entre outros temas são abordados.

Capítulo 6 - Considerações Legais. Embora este capítulo seja baseado na lei americana, é bastante ilustrativo quanto às questões legais de manipulação de informações e uso em juízo das provas coletadas.

Capítulos 7 e 8 - Abordam questões relativas à análise inicial de artefatos conseguidos nas fases anteriores. Uma grande ênfase é dada em questões como estrutura de arquivos executáveis, métodos de ofuscação de executáveis (criptografia/compactadores), interdependência com bibliotecas do sistema operacional, etc. O capítulo 7 é dedicado ao ambiente Windows e o capítulo 8 ao ambiente Linux.

Capítulos 9 e 10 - Nestes capítulos, são apresentadas técnicas mais aprofundadas para análise de programas suspeitos, tanto em ambiente Windows (cap. 9) quanto em ambiente Linux (cap. 10). Todo este processo de análise é realizado em ambiente controlado, especialmente criado para este tipo de atividade, e existe um controle de acessos à rede, a arquivos, a registry, etc.

Realmente é uma leitura que vale muito a pena para aqueles que querem se aprofundar mais na análise de artefatos maliciosos.


1 comment:

  1. Grande Paulo, antes de mais nada, feliz 2010!

    Muito bom o seu review do livro, que é realmente muito bom! Eu fiz um breve resumo dele e de cerca de 20 outros livros da área de Resposta a Incidentes e Forense neste post:
    http://sseguranca.blogspot.com/2009/12/livros-de-seguranca-resposta-incidentes.html

    Dá uma passada por lá depois..

    um grande abraço,

    Sandro Süffert
    http://blog.suffert.com

    ReplyDelete