Practical Reverse Engineering: x86, ARM y Windows kernel

Sinopsis

Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation (Bruce Dang, Alexandre Gazet, Elias Bachaalany, Wiley, 2014) es un libro avanzado que cubre reverse engineering desde tres ángulos: arquitecturas de procesador (x86/x64, ARM), Windows kernel internals y técnicas de obfuscación.

A diferencia de PMA que enseña análisis de malware como disciplina completa, este libro se centra exclusivamente en la habilidad de reverse engineering: leer código máquina, entender estructuras del sistema operativo y deshacer protecciones.

Público objetivo

• Reverse engineers con base en assembly que quieren profundizar
• Analistas de malware que necesitan mejorar su capacidad de análisis estático
• Investigadores de vulnerabilidades
• Profesionales que trabajan con firmware o malware embebido (ARM)

Nivel requerido: assembly x86 básico, programación en C, familiaridad con debuggers.

Lo que aprenderás

x86 y x64 en profundidad

No es un tutorial de assembly desde cero. Cubre los patrones que encuentras en binarios reales: calling conventions, stack frames, switch/case compilado, vtables C++, optimizaciones del compilador que cambian la estructura del código. Aprenderás a leer código compilado como si fuera pseudocódigo.

ARM

Cobertura sólida de ARM assembly: registros, modos, Thumb, condiciones. Esencial ahora que el malware móvil y el malware para IoT (que corre en ARM) es cada vez más prevalente.

Windows kernel reversing

Cómo hacer reverse engineering de drivers y componentes del kernel de Windows. Estructuras internas, callbacks, filter drivers, comunicación kernel-userland. Base para entender rootkits y exploits de escalamiento de privilegios.

Obfuscación

Técnicas que usan los atacantes para dificultar el análisis: opaque predicates, control flow flattening, dead code insertion, string encryption, anti-disassembly. Y cómo deshacerlas.

Puntos fuertes

Profundidad en ARM. Es uno de los pocos libros de RE que cubre ARM con rigor. Con el auge de Apple Silicon, IoT y malware móvil, esta cobertura es cada vez más valiosa.

Enfoque en patrones reales. No enseña assembly instrucción por instrucción. Enseña a reconocer patrones de código compilado: "esto es un if-else", "esto es un loop con contador", "esto es una vtable". Eso es lo que necesitas en la práctica.

Ejercicios de calidad. Cada capítulo incluye ejercicios que requieren aplicar lo aprendido a binarios reales.

Puntos débiles

Curva de entrada empinada. Si no tienes base de assembly, este libro no es tu punto de partida. Empieza por PMA o Eilam.

Sin cobertura de herramientas modernas. No cubre Ghidra (publicado en 2014, Ghidra salió en 2019). Los conceptos aplican, pero los workflows de herramientas están desactualizados.

Linux ausente. Solo Windows y ARM genérico. Sin cobertura de ELF ni Linux kernel reversing.

Veredicto

El complemento perfecto para PMA si quieres especializarte en reverse engineering puro. PMA te enseña a analizar malware. Este libro te enseña a leer código máquina con fluidez. Si aspiras a ser reverse engineer, no analista generalista, este libro es esencial.