🙆🏽 🚄 🚴 Biblioteca forense informática: los 11 mejores libros sobre análisis forense digital, respuesta a incidentes y análisis de malware 👩‍👩‍👧‍👦 🙎🏾 ⚙️

¿Quieres entender informática o análisis forense móvil? ¿Aprender a responder a incidentes? Malware inverso? Amenaza de caza? ¿Inteligencia cibernética? Prepárate para una entrevista? En este artículo, Igor Mikhailov, especialista en el Laboratorio de informática forense del Grupo-IB , ha compilado los 11 mejores libros sobre informática forense, investigación de incidentes y reversión de malware, lo que ayudará a estudiar la experiencia de los profesionales, aumentar sus habilidades, obtener una posición más alta o un nuevo trabajo bien remunerado.

Cuando llegué al examen de computadora, y esto fue en 2000, de la literatura metodológica, los especialistas tenían solo 71 páginas: "Disposiciones generales para la designación y producción de conocimientos técnicos informáticos: recomendaciones metodológicas", emitidas por el Ministerio del Interior de Rusia y una serie de publicaciones en varias publicaciones periódicas. ediciones E incluso estos pocos materiales estaban disponibles solo para un círculo limitado. Tuve que buscar, fotocopiar, traducir libros extranjeros sobre medicina forense; no había literatura decente sobre este tema en ruso.

Ahora la situación es un poco diferente. Hay mucha literatura, como antes, principalmente en inglés. Y para navegar por este mar de información, a fin de no volver a leer el libro que contiene el material de nivel de entrada 101 veces, preparé esta colección, que será útil para principiantes y profesionales para estudiar.

1. Análisis forense de sistemas de archivos

autor: Brian Carrier

¿Cómo comienza casi cualquier estudio de un objeto digital? Con la definición de los sistemas operativos y de archivos del dispositivo bajo investigación. El autor del libro hizo un gran trabajo al resumir la información sobre varios sistemas de archivos. El lector aprenderá muchos detalles sobre cómo se almacena la información en discos duros y matrices RAID. Está esperando una inmersión profunda en la arquitectura y las sutilezas de los sistemas de archivos en computadoras que ejecutan Linux / BSD y sistemas operativos de la familia Windows.

En su trabajo, el autor utilizó una herramienta forense tan famosa como el Kit Sleuth (TSK), desarrollado por él sobre la base de The Coroner's Toolkit. Cualquiera puede repetir los pasos tomados por el autor con esta herramienta o realizar su investigación. La herramienta gráfica Sleuth Kit, el programa Autopsy, se usa ampliamente para el análisis forense de evidencia digital y la investigación de incidentes.

Este libro ha sido traducido al ruso bajo el título "Análisis forense de sistemas de archivos". Pero tenga cuidado con la información que contiene, ya que hay imprecisiones en la traducción, que en algunos casos distorsionan gravemente el significado.

2. Respuesta a incidentes y análisis forense informático (tercera edición)

autores: Jason T. Luttgens, Matthew Pepe, Kevin Mandia

El libro es una guía práctica para investigar incidentes. Describe en detalle todas las etapas de la investigación: desde la preparación de una respuesta a un incidente, la copia forense de evidencia digital y la búsqueda de artefactos de incidentes en varios sistemas operativos (Windows, Linux, MacOS) hasta la compilación de un informe de incidente.

El libro resultó ser tan bueno que se incluyó en el paquete de capacitación para el curso SANS "FOR508: Respuesta avanzada a incidentes, búsqueda de amenazas y análisis forense digital", un curso de capacitación de investigación de incidentes de alto nivel.

Hay una edición traducida de este libro: “Protección contra intrusiones. Investigación de delitos informáticos. La traducción fue publicada en Rusia en dos ediciones. Pero como la primera versión del libro estaba siendo traducida, la información que contenía estaba desactualizada.

3. Investigando los sistemas de Windows

autor: Harlan Carvey

Un libro especial del autor de muchos libros superventas sobre informática forense. En él, el autor habla no solo de los detalles técnicos de la investigación de artefactos de Windows e investigación de incidentes, sino también de sus enfoques metodológicos. La filosofía de Harlan Carvey, un especialista con amplia experiencia en responder a incidentes, no tiene precio.

4. Análisis forense digital y respuesta a incidentes (segunda edición)

autor: Gerard Johansen

Investigación de incidentes, análisis de RAM, análisis forense de redes y un poco de análisis forense clásico: todo esto se recopila en un libro y se describe en un lenguaje fácil y accesible.

Además, el lector recibirá una comprensión básica del estudio de los registros del sistema, aprenderá los principios del malware inverso, los conceptos básicos de la búsqueda proactiva de amenazas (Threat Hunting) y la inteligencia cibernética (Threat Intelligence), y también se familiarizará con las reglas para escribir informes.

5. Libro de cocina forense de Windows

autores: Oleg Skulkin, Scar de Courcier

Este libro, coescrito por mi colega en el Grupo IB Oleg Skulkin, es una colección de consejos ("recetas") sobre cómo actuar en una situación particular cuando se investigan los artefactos del sistema operativo Windows 10. El material se basa en el principio: hay un problema: los autores ofrecen una guía paso a paso para resolverlo (desde qué herramienta puede resuelva el problema y dónde conseguirlo, antes de configurar y aplicar esta herramienta correctamente). La prioridad en el libro se da a los servicios públicos gratuitos. Por lo tanto, el lector no necesitará comprar costosos programas forenses especializados. En el libro 61, consejos: esto cubre todas las tareas típicas que un investigador suele encontrar al analizar Windows. Además de los artefactos forenses clásicos, el libro analiza ejemplos de análisis de artefactos específicos de Windows 10 solamente.

6. El arte del análisis forense de la memoria: detección de malware y amenazas en la memoria de Windows, Linux y Mac

autor: Michael Hale Ligh

Huge (más de 900 páginas), un trabajo académico directo dedicado al estudio de la memoria RAM de la computadora. El libro está dividido en cuatro partes principales. La primera parte presenta al lector cómo se organiza la RAM de la computadora y cómo capturar correctamente los datos que contiene forense. Las siguientes tres secciones detallan los enfoques para extraer artefactos de los volcados de almacenamiento principales de las computadoras que ejecutan Windows, MacOS y Linux.
Se recomienda leer a aquellos que decidieron comprender con el mayor detalle posible qué artefactos criminales se pueden encontrar en la RAM.

7. Redes forenses

autor: Ric Messier

Este libro es para aquellos que quieran sumergirse en el estudio forense en línea. Se informa al lector sobre la arquitectura de los protocolos de red. Luego, se describen los métodos para capturar y analizar el tráfico de red. Describe cómo detectar ataques basados en datos del tráfico de red y registros de sistema de sistemas operativos, enrutadores y conmutadores.

8. Análisis forense móvil práctico: investigue y analice forense dispositivos iOS, Android y Windows 10 (cuarta edición)

autores: Rohit Tamma, Oleg Skulkin, Heather Mahalik, Satish Bommisetty

El mundo ha cambiado mucho en los últimos diez años. Todos los datos personales (fotos, videos, correspondencia en mensajeros, etc.) migraron de computadoras personales y computadoras portátiles a teléfonos inteligentes. Practical Mobile Forensics es un éxito de ventas en Packt Publishing y se ha publicado cuatro veces. El libro detalla la extracción de datos de teléfonos inteligentes con sistemas operativos iOS, Android, Windows 10, cómo recuperar y analizar los datos extraídos, cómo analizar los datos de las aplicaciones instaladas en los teléfonos inteligentes. Este libro también presenta al lector los principios de funcionamiento de los sistemas operativos en dispositivos móviles.

9. Aprendizaje forense de Android: analice dispositivos Android con las últimas herramientas y técnicas forenses (segunda edición)

autores: Oleg Skulkin, Donnie Tindall, Rohit Tamma

Investigar dispositivos que ejecutan el sistema operativo Android se está volviendo más difícil cada día. Escribimos sobre esto en el artículo "Análisis forense de las copias de seguridad de HiSuite". Este libro está diseñado para ayudar al lector a profundizar en el análisis de dichos dispositivos móviles. Además de los consejos prácticos tradicionales para extraer y analizar datos de teléfonos inteligentes Android, el lector aprenderá cómo hacer una copia de la RAM del teléfono inteligente, analizar datos de aplicaciones, revertir el malware para Android y escribir una regla YARA para detectar dichos programas en la memoria de los dispositivos móviles.

10. Aprendizaje del análisis de malware: explore los conceptos, herramientas y técnicas para analizar e investigar el malware de Windows

autor: Monnappa KA

La comunidad de expertos espera este libro desde hace más de un año. Y el autor no decepcionó a sus lectores. Obtuvo un manual muy bueno para aquellos que desean comenzar su viaje en malware inverso. La información se presenta de forma clara e inteligible.

El lector aprenderá cómo configurar su laboratorio para el análisis de malware, familiarizarse con los métodos de análisis estático y dinámico de dichos programas, aprender lecciones al trabajar con el desensamblador interactivo IDA Pro, aprender a evitar la ofuscación, una tecnología que complica el estudio del código fuente de los programas.

Este libro está disponible en traducción en ruso: "Análisis de malware".

11. Rootkits y Bootkits: revertir el malware moderno y las amenazas de la próxima generación

autores: Alex Matrosov, Eugene Rodionov, Sergey Bratus

Esta publicación aborda un tema complejo: el estudio de rootkits y bootkits. El libro está escrito por tres profesionales. Este libro describe los principios básicos del malware inverso y las técnicas sofisticadas diseñadas para investigadores profesionales de dichos programas: analistas de virus.

El lector se familiarizará con temas como el proceso de carga de sistemas operativos Windows de 32 y 64 bits, junto con ejemplos, analizará métodos para analizar rootkits y bootkits específicos, aprenderá sobre vectores de ataque en BIOS y UEFI y desarrollará métodos para detectar tales ataques, y aprenderá sobre la aplicación virtualización para analizar el comportamiento del bootkit.

Biblioteca forense informática: los 11 mejores libros sobre análisis forense digital, respuesta a incidentes y análisis de malware