Rootkits and Bootkits: la referencia técnica definitiva
Reseña de Rootkits and Bootkits de Matrosov, Rodionov y Bratus. El libro más completo sobre rootkits kernel, bootkits UEFI y técnicas de evasión de bajo nivel.
Sinopsis
Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats (Alex Matrosov, Eugene Rodionov, Sergey Bratus, No Starch Press, 2019) es la referencia técnica definitiva sobre malware de bajo nivel. Cubre desde rootkits clásicos de Windows kernel hasta bootkits UEFI modernos, pasando por técnicas de evasión, hooking, DKOM y bypass de Secure Boot.
Los autores son investigadores senior de ESET y academia. Matrosov es una autoridad mundial en seguridad de firmware. El libro refleja años de investigación real en malware que opera al nivel más bajo del sistema.
Público objetivo
- Reverse engineers especializados en malware de kernel
- Investigadores de firmware security
- Analistas de malware avanzados que encuentran rootkits en investigaciones
- Desarrolladores de productos de seguridad (EDR, AV) que necesitan detectar rootkits
Nivel requerido: assembly x86/x64, Windows internals avanzado, programación de drivers. Este es probablemente el libro más técnico de toda la serie.
Lo que aprenderás
Rootkits de kernel Windows (parte 1)
Técnicas clásicas: SSDT hooking, IRP hooking, DKOM (Direct Kernel Object Manipulation), filter drivers maliciosos. Cómo los rootkits ocultan procesos, archivos y conexiones de red manipulando estructuras del kernel.
Bootkits MBR/VBR (parte 2)
Cómo funcionan los bootkits que infectan el Master Boot Record y Volume Boot Record. Análisis de TDL4/Alureon, Olmasco y otros bootkits históricos que controlaban el sistema antes de que Windows cargara.
UEFI y Secure Boot (parte 3)
La sección más valiosa del libro en 2026. Cómo funciona el proceso de boot UEFI, qué protege Secure Boot, cómo bootkits como LoJax y MosaicRegressor lo evaden. Fundamentos para entender amenazas modernas como BlackLotus y CosmicStrand.
Técnicas de detección (parte 4)
Cómo detectar rootkits desde el sistema operativo y desde fuera de él. Uso de hipervisores para monitorización, verificación de integridad de firmware, y técnicas forenses para identificar modificaciones de bajo nivel.
Puntos fuertes
Profundidad sin igual. No existe otro libro que cubra rootkits y bootkits con este nivel de detalle técnico. Los capítulos de UEFI son la mejor documentación pública disponible sobre seguridad de firmware.
Análisis de malware real. Cada técnica se ilustra con muestras reales: TDL4, ZeroAccess, LoJax, MosaicRegressor. No son ejemplos de laboratorio: son amenazas que afectaron a millones de sistemas.
Autores de primer nivel. Matrosov trabaja en Binarly (firmware security), Rodionov fue investigador de ESET. El conocimiento viene de primera mano, no de compilar blog posts.
Cubre la evolución completa. Desde rootkits de 2003 hasta bootkits UEFI de 2019. Ves cómo las técnicas evolucionan en respuesta a las defensas (PatchGuard, Secure Boot, VBS).
Puntos débiles
Nivel de entrada muy alto. Sin conocimientos sólidos de Windows internals y assembly, el 70% del libro será incomprensible. No es un defecto del libro, es la naturaleza del tema.
Publicado en 2019. No cubre BlackLotus (2023), CosmicStrand, ni técnicas de bypass de VBS (Virtualization-Based Security). Pero los fundamentos que enseña son exactamente lo que necesitas para entender esas amenazas.
Solo Windows. No cubre rootkits Linux (Diamorphine, Reptile) ni malware de firmware en otras plataformas.
Precio elevado. ~60 USD. Justificado por la calidad, pero es una inversión.
Alternativas y complementos
| Libro | Cuándo elegirlo |
|---|---|
| Windows Internals (Russinovich) | Si necesitas base de Windows internals antes |
| The Art of Memory Forensics | Para detección de rootkits en memoria (complemento) |
| Practical Malware Analysis | Si eres principiante (empieza por PMA, luego este) |
| Windows Kernel Programming (Yosifovich) | Si quieres escribir drivers y entender el kernel desde el lado del desarrollo |
Veredicto
Si trabajas en seguridad de firmware, detección de rootkits o investigación de malware avanzado, este libro es obligatorio. No tiene competencia en su nicho. Si eres analista SOC generalista, probablemente no lo necesitas ahora, pero lo necesitarás cuando te encuentres tu primer rootkit en una investigación real.
Preguntas frecuentes
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.