作者:mhl
翻译:Claud Xiao
原文地址:http://www.malwarecookbook.com/?p=49
今天Sunbelt Software发表了一篇博客介绍病毒分析的书籍,我也一直打算做同样的事。某些出版商出于竞争的考虑,不准作者引用其他出版商的书籍。因此,尽管我很想在Malware Analyst’s Cookbook中引用我喜欢的一些书,但不被允许这样做。所以,我选择了在这篇博文中将它们列举出来。以下就是我认为在病毒分析方面很值得一读的书籍:
- Assembly Language for Intel-Based Computers,作者Kip R. Irvine(中译本《Intel汇编语言程序设计》 )。一本学习CPU、寄存器、汇编语言的参考书。
- The IDA Pro Book,作者Chris Eagle(中译本《IDA Pro权威指南》 )。学习使用IDA Pro和学习做静态分析的指南。
- Gray Hat Python,作者Justin Seitz。学习如何使用Python完成调试、钩挂(hooking)、模糊测试等多种任务。
- Secrets of Reverse Engineering,作者Eldad Eilam(中译本《Reversing:逆向工程揭密》 )。对一些逆向技巧和工具做了不错的总结。
- Malware: Fighting Malicious Code,作者Ed Skoudis、Lenny Zeltser(中译本《决战恶意代码》 )。学习恶意代码是什么、从何而来、有何危害、如何清除(包括Windows下和Unix下)。
- The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System,作者Bill Blunden。对用户模式和内核模式Rootkit作了深入描述,包含大量C代码示例(全书接近900页)。
- Rootkits: Subverting the Windows Kernel,作者Greg Hoglund、Jamie Butler(中译本《Rootkits——Windows内核的安全防护》 )。从攻击和防御两个角度介绍了Windows Rootkit。
- Windows Forensic Analysis DVD Toolkit,作者Harlan Carvey(中译本《Windows取证分析(含DVD光盘)》 )。大量实践性取证知识、Harlan自己写的小工具,以及一些手把手的实例。需要防止或调查计算机入侵的人都应该读一读这本书。
- Advanced Windows Debugging,作者Mario Hewardt、Daniel Pravat(中译本《Windows高级调试》 )。学习如何使用微软调试器找到资源泄漏、内存腐烂、安全事件的发生源头。这本书不是关于恶意代码的,但显然你可以使用其中的知识来调试恶意代码。
- Practical Crypography,作者Niels Ferguson、Bruce Schneier。对安全从业人员应该了解的密码学算法做了很好的总结。
- Forensic Discovery,作者Dan Farmer、Wietse Venema(中译本《计算机取证》 )。这是我最早读过的取证书籍之一。现在这本书有些古老了,但其中的一些概念永远不会过时。就算到了2030年,我还要推荐这本书。
- Malware Forensics: Investigating and Analyzing Malicious Code,作者Cameron H. Malin, Eoghan Casey,James M. Aquilina(中译本《恶意代码取证》 )。一本围绕着工具展开的书,对恶意代码感兴趣的人都会喜欢。
- The Shellcoder’s Handbook,作者Jack Koziol等;The Shellcoder’s Handbook 2nd Edition,作者Chris Anley等。无论是学习如何阅读和写shellcode,还是分析恶意代码利用的漏洞,或者仅仅是想对用于静态分析的汇编语言有更好的了解,这都是一本极好的书。
- File System Forensic Analysis,作者Brian Carrier。使用The Sleuth Kit和Autospy工具来研究文件系统的宝典。我通过它学会了如何对付基于MFT数据、NTFS流等技术的恶意代码。这本书还包含了其他很多文件系统。
- The Art of Computer Virus Research and Defense,作者Peter Szor(中译本《计算机病毒防范艺术》 )。一本伟大的书,囊括了病毒如何工作、如何检测病毒的各种技术性和非技术性知识。
- Windows NT/2000 Native API Reference,作者Gary Nebbett(中译本《Windows NT/2000本机API参考手册》 )。这本书类似于MSDN,它介绍了微软未文档化的API函数。当编写需要用到原生API的工具,或者逆向用了原生API的恶意代码时,应该把它放在手头。
- Windows Internals: Including Windows Server 2003 and Windows Vista, 5th Edition,作者Mark Russinovich,David A. Solomon和Alex Ionescu(中译本《深入解析Windows操作系统》 )。包含了很多理解Windows是如何工作的技术性知识。
- Real Digital Forensics: Computer Security and Incident Response,作者Keith J. Jones,Richard Bejtlich和Curtis W. Rose。通过实例,介绍如何在Unix或Windows系统的机器上检测入侵(随书DVD上包含了取证文件)。
- Windows via C/C++,作者Jeffrey M. Richter、Christophe Nasarre(中译本《Windows核心编程》 )。Windows Internals仅仅介绍了系统的工作原理,而这本书则介绍了如何使用Windows API来编写程序。当然,它不能取代Windows Internals,你可以把这两本都读一读。