Practical Binary Analysis: RE en Linux y más allá

Sinopsis

Practical Binary Analysis: Build Your Own Linux Tools for Binary Instrumentation, Analysis, and Disassembly (Dennis Andriesse, No Starch Press, 2018) llena un gap importante: mientras PMA y la mayoría de libros de RE se centran en Windows/PE, este libro se enfoca en Linux/ELF y en técnicas modernas de análisis que van más allá del debugging tradicional.

Andriesse, investigador de la VU Amsterdam, cubre análisis estático y dinámico de binarios ELF, instrumentación con Pin y DynamoRIO, análisis de código con capstone/keystone, symbolic execution con Triton, y construcción de herramientas propias de análisis.

Público objetivo

• Analistas de malware que trabajan con binarios Linux
• Investigadores que quieren ir más allá de "debugger + disassembler"
• CTF players que compiten en categorías de RE y pwn
• Desarrolladores de herramientas de seguridad

Nivel requerido: programación C/C++, familiaridad con Linux, nociones de assembly x86.

Lo que aprenderás

Formato ELF en profundidad

Estructura completa de ejecutables ELF: headers, secciones, segments, dynamic linking, symbol resolution. El equivalente de lo que Windows Internals hace por PE, pero para ELF.

Análisis estático avanzado

Construcción de disassemblers lineales y recursivos. Entender por qué el disassembly puede fallar y cómo manejarlo. Uso de capstone para programmatic disassembly.

Instrumentación dinámica

Binary instrumentation con Intel Pin y DynamoRIO: insertar código en binarios en ejecución para monitorizar, modificar o analizar su comportamiento. Técnica usada por taint analysis, coverage-guided fuzzing y análisis de malware.

Symbolic execution

Introducción a symbolic execution con Triton: en lugar de ejecutar con valores concretos, ejecutas con variables simbólicas para explorar todos los caminos de ejecución. Útil para analizar condiciones de activación de malware y resolver challenges de CTF.

Construcción de herramientas

El libro te enseña a construir tus propias herramientas de análisis en C/C++ y Python. No es un libro de "usa esta herramienta". Es un libro de "construye la herramienta que necesitas".

Puntos fuertes

Único en su nicho. No existe otro libro que cubra análisis de binarios Linux con esta profundidad y enfoque práctico.

Técnicas modernas. Instrumentación, symbolic execution y programmatic analysis son técnicas que la industria usa pero que casi ningún libro enseña.

Enfoque constructivo. Construyes herramientas reales a lo largo del libro. Al terminar, tienes un toolkit propio, no dependencia de herramientas de terceros.

No Starch Press. Calidad editorial alta, como PMA.

Puntos débiles

No cubre Windows. Si tu foco es malware para Windows (el 80% del malware), este libro es complementario, no principal.

Curva intermedia. No es para principiantes absolutos. Necesitas base de C y Linux.

Symbolic execution introductorio. La cobertura de symbolic execution es suficiente para empezar pero no para dominar. Para profundizar necesitas papers académicos.

Veredicto

El libro que necesitas si trabajas con binarios Linux o si quieres ir más allá del enfoque clásico de "IDA + debugger". Las técnicas de instrumentación y symbolic execution te dan capacidades que la mayoría de analistas no tienen. Complemento perfecto a PMA (que cubre Windows) para tener cobertura multiplataforma.