Practical Malware Analysis: el libro que define la disciplina
Reseña en profundidad de Practical Malware Analysis de Sikorski y Honig. El libro de referencia para análisis estático, dinámico y técnicas de reverse engineering de malware.
Sinopsis
Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software (Michael Sikorski y Andrew Honig, No Starch Press, 2012) es el libro de referencia absoluta para aprender análisis de malware. Catorce años después de su publicación, sigue siendo el primer libro que recomiendan los profesionales del sector.
El libro cubre el ciclo completo de análisis: desde técnicas básicas de triage (strings, hashes, imports) hasta análisis avanzado con debuggers y técnicas anti-debugging. Cada capítulo incluye laboratorios prácticos con muestras de malware diseñadas específicamente para el libro.
Público objetivo
- Analistas SOC que quieren dar el salto a malware analysis
- Estudiantes de ciberseguridad con base en programación
- Profesionales de IT que necesitan entender cómo funciona el malware que detectan sus herramientas
Nivel requerido: conocimientos básicos de C, familiaridad con Windows, noción de assembly x86. No necesitas ser experto en ninguno.
Lo que aprenderás
Análisis estático básico (capítulos 1-4)
Cómo extraer información de un binario sin ejecutarlo: strings, imports, exports, secciones PE, recursos. Identificar packers y cómo lidiar con ellos. Herramientas: PEiD, Dependency Walker, PEview, strings.
Análisis dinámico básico (capítulos 5-7)
Ejecutar malware en un entorno controlado y observar su comportamiento: procesos creados, archivos modificados, conexiones de red, cambios en el registro. Herramientas: Process Monitor, Process Explorer, Regshot, ApateDNS, Wireshark.
Análisis con IDA Pro (capítulos 8-14)
Análisis estático avanzado con IDA Pro: navegación de código, grafos de control de flujo, reconocimiento de patrones de código C compilado, estructuras de datos, funciones de la API de Windows. Esta sección es densa pero transformadora.
Anti-análisis y técnicas de evasión (capítulos 15-18)
Técnicas anti-debugging (IsDebuggerPresent, timing checks, NtQueryInformationProcess), anti-VM (detección de VMware/VirtualBox), anti-disassembly (opaque predicates, junk bytes) y packers/crypters.
Temas avanzados (capítulos 19-21)
Shellcode analysis, análisis de tráfico C2, y técnicas de malware de 64 bits. Cada tema incluye laboratorios con muestras reales simplificadas.
Puntos fuertes
Los laboratorios son excepcionales. 60+ muestras de malware diseñadas para enseñar conceptos específicos. No son samples reales caóticos: están construidas para que aprendas una técnica por laboratorio. Es el equivalente a un curso universitario con prácticas de laboratorio.
Estructura progresiva. Cada capítulo construye sobre el anterior. Al terminar el libro, has construido un método de análisis completo y reproducible.
Enfoque en el método, no en las herramientas. El libro enseña a pensar como un analista. Las herramientas cambian (IDA Pro tiene competidores como Ghidra hoy), pero el proceso analítico que describe Sikorski es atemporal.
Cobertura de Windows internals. Los capítulos sobre API de Windows, manejo de procesos y técnicas de inyección proporcionan la base que necesitas para entender el 80% del malware actual.
Puntos débiles
Publicado en 2012. No cubre malware moderno como fileless malware, ataques a contenedores, malware en Go/Rust, ni técnicas post-2015 como process hollowing avanzado o syscall evasion. Para eso necesitas complementar con recursos actuales.
Solo Windows x86. No cubre Linux, macOS, Android ni arquitecturas ARM. En 2026, el malware multiplataforma es cada vez más común.
IDA Pro como herramienta principal. IDA Pro sigue siendo relevante, pero Ghidra (gratis, NSA) ha democratizado el análisis estático. Los conceptos del libro se aplican a Ghidra, pero los screenshots y workflows son de IDA.
Sin cobertura de YARA ni Sigma. Las reglas de detección son hoy parte fundamental del workflow de un analista. Este libro no las cubre.
Alternativas y complementos
| Libro | Cuándo elegirlo |
|---|---|
| Learning Malware Analysis (Monnappa) | Si PMA te resulta demasiado denso. Más accesible, más moderno |
| Malware Analyst's Cookbook | Si quieres recetas prácticas rápidas más que un curso estructurado |
| Practical Binary Analysis | Si tu foco es ELF/Linux más que PE/Windows |
| The Art of Memory Forensics | Si quieres profundizar en análisis de memoria (complemento perfecto a PMA) |
Veredicto
Es el libro que todo analista de malware debería leer primero. No porque sea perfecto (no lo es), sino porque construye los cimientos sobre los que todo lo demás se apoya. Las técnicas de evasión evolucionan cada año. El método analítico que enseña PMA lleva 14 años funcionando.
Si estás empezando en malware analysis, este es tu primer libro. Si ya tienes experiencia, probablemente ya lo has leído. Si no, tienes un gap en tu formación.
Preguntas frecuentes
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.