Learning Malware Analysis: la alternativa moderna a PMA

Sinopsis

Learning Malware Analysis: Explore the concepts, tools, and techniques to analyze and investigate Windows malware (Monnappa K A, Packt, 2018) es una guía práctica de análisis de malware orientada a principiantes y analistas de nivel intermedio. Cubre análisis estático, dinámico, memoria forense, análisis de tráfico y técnicas anti-análisis con un enfoque más accesible que PMA.

Monnappa es investigador de seguridad en Cisco (CX Security Labs) y contribuidor activo de Volatility y otras herramientas open source. El libro refleja experiencia real en análisis de incidentes.

Público objetivo

• Principiantes absolutos en malware analysis que buscan un libro accesible
• Analistas SOC que quieren dar el primer paso hacia malware analysis
• Profesionales que probaron PMA y lo encontraron demasiado denso

Nivel requerido: conocimientos básicos de Windows, nociones de programación. Menos exigente que PMA.

Lo que aprenderás

Setup del laboratorio

Configuración completa de un entorno de análisis seguro: VMs, networking aislado, herramientas esenciales. PMA asume que ya tienes esto. Monnappa lo explica paso a paso.

Análisis estático y dinámico

Las mismas técnicas fundamentales que PMA pero explicadas con más detalle y con herramientas más modernas. Incluye Ghidra (no solo IDA Pro), x64dbg y herramientas actualizadas.

Memoria forense

Capítulos dedicados a análisis con Volatility. Monnappa es contribuidor del proyecto, así que la cobertura es sólida y práctica.

Análisis de tráfico de red

Captura y análisis de comunicaciones C2 con Wireshark y NetworkMiner. Identificación de beaconing y exfiltración.

Anti-análisis

Técnicas de evasión y cómo superarlas. Anti-VM, anti-debugging, packers y crypters.

Puntos fuertes

Más accesible que PMA. Explicaciones más detalladas, más capturas de pantalla, progresión más gradual. Si PMA te abruma, este libro es tu rampa de entrada.

Herramientas modernas. Incluye Ghidra, x64dbg y herramientas actualizadas que PMA (2012) no cubre.

Buena cobertura de memoria forense. Al ser contribuidor de Volatility, Monnappa explica el análisis de memoria con autoridad y profundidad.

Setup de laboratorio incluido. No asume que ya tienes un lab configurado. Te guía en la creación desde cero.

Puntos débiles

Menos riguroso que PMA. La profundidad técnica es menor. Los laboratorios son más simples. Si ya tienes experiencia, puede sentirse básico.

Publicado en 2018. No cubre malware en Go/Rust, fileless malware avanzado ni técnicas post-2018.

Solo Windows. Como PMA, no cubre Linux ni macOS.

Editorial Packt. La calidad editorial de Packt es inferior a No Starch Press. Algunos errores tipográficos y formateo inconsistente.

Veredicto

El mejor libro para empezar si PMA te intimida. No reemplaza a PMA (que es más profundo y riguroso), pero es una excelente rampa de entrada. La estrategia óptima: empieza con Monnappa para construir confianza y entender el workflow básico, luego pasa a PMA para profundizar.