🧠 این کتاب یک راهنمای جامع و کاملاً عملی برای تحلیل نسل جدید malware در ویندوز محسوب میشه؛ مخصوص بدافزارهایی که طراحی شدن تا فعالانه از شناسایی فرار کنن، ابزارهای forensic رو گمراه کنن و حتی خودشون رو در برابر تحلیل تغییر بدن یا نابود کنن.

⚙️ همه‌مون با نمونه‌هایی مثل Stuxnet، ShadowHammer و Sunburst آشنا هستیم؛ تهدیدهایی که با تکنیک‌های evasion خودشون رو مخفی نگه می‌دارن و در برابر تحلیل مقاومت می‌کنن. این کتاب دقیقاً روی همین لایه تمرکز می‌کنه: فهمیدن این تکنیک‌ها و یاد گرفتن روش‌های مقابله با اون‌ها.

🔍 در ابتدا یک crash course از static analysis و dynamic analysis می‌گیری تا رفتار واقعی malware رو استخراج کنی. بعد وارد دنیای پیچیده‌تری می‌شی که در اون بدافزارها با context awareness محیط اجرا رو بررسی می‌کنن؛ مثل تشخیص ماشین مجازی، sandbox و حتی تحلیل رفتار سخت‌افزاری.

🧠 در ادامه وارد حوزه anti-reversing می‌شی؛ جایی که malware با تکنیک‌هایی مثل anti-debugging، anti-disassembly، اجرای مخفی کد و تکنیک‌های misdirection سعی می‌کنه تحلیل رو سخت یا غیرممکن کنه. بعد هم به سراغ defense evasion می‌ری؛ شامل process injection، rootkitها و حتی fileless malware.

🧪 در نهایت، بخش‌های پیچیده‌تر مثل encoding، encryption، packerها و obfuscation بررسی می‌شن تا بتونی ساختار واقعی بدافزار رو از زیر لایه‌های مخفی‌سازی بیرون بکشی.

🧰 در این مسیر یاد می‌گیری که malware چطور:

🧩 از کامپوننت‌های قانونی ویندوز مثل Windows API و LOLBins برای اجرای مخفی استفاده می‌کنه

🧪 با بررسی CPU timing و hypervisor detection محیط تحلیل رو تشخیص می‌ده

🛡️ با obfuscation، mutation و تکنیک‌های active مثل unhooking از endpoint و network defense عبور می‌کنه

🧠 از debugger detection و تکنیک‌های ضد تحلیل برای گمراه کردن ابزارهای تحلیل استفاده می‌کنه

🏗️ همچنین یاد می‌گیری چطور یک malware analysis lab بسازی و اون رو طوری تنظیم کنی که در برابر تکنیک‌های anti-analysis مقاوم باشه.

📚 فهرست مطالب

1. مفاهیم پایه ویندوز

2. Triaging بدافزار و تحلیل رفتاری

3. تحلیل استاتیک و داینامیک کد

4. شناسایی artefactهای سیستم‌عامل

5. تشخیص محیط کاربر و تعاملات

6. بررسی سخت‌افزار و تنظیمات شبکه

7. ناهنجاری‌های محیط اجرایی و پردازنده مجازی

8. دور زدن sandbox و اختلال در تحلیل

9. Anti-Disassembly

10. Anti-Debugging

11. اجرای مخفی کد و تکنیک‌های misdirection

12. Process Injection و hooking

13. دور زدن دفاع endpoint و شبکه

14. آشنایی با Rootkitها

15. Fileless malware و تکنیک‌های Living off the Land و ضد forensic

16. Encoding و Encryption

17. Packers و unpacking بدافزار

18. ساخت lab برای تحلیل ضد-evasion

19. توابع ویندوز مورد استفاده در evasion

20. منابع و مطالعه بیشتر

📝 نقد و بررسی

💬 «یک مجموعه کامل از تکنیک‌های مقابله‌ای که بدافزارها برای فرار از شناسایی استفاده می‌کنن؛ مفید برای هر کسی که سیستم‌های دفاعی توسعه می‌ده.»

— Ivan Kwiatkowski

💬 «این کتاب هم برای تحلیل‌گرهای حرفه‌ای مفیده هم برای مبتدی‌ها، چون مفاهیم پایه رو هم پوشش می‌ده و یادگیری رو قابل دسترس‌تر می‌کنه.»

— Anuj Soni

💬 «یک راهنمای به‌روز و کاربردی از تکنیک‌های evasion که کمک می‌کنه الگوهای رایج بدافزارها رو سریع‌تر تشخیص بدی.»

— Aleksandra “Hasherezade” Doniec

💬 «برای هر کسی که می‌خواد در مسیر تحلیل بدافزار پیشرفته‌تر بشه، این کتاب یک منبع بسیار ارزشمنده.»

— Lenny Zeltser

👨‍💻 درباره نویسنده

👨‍💻 Kyle Cucci بیش از ۱۷ سال تجربه در حوزه امنیت سایبری و IT داره. او در تیم Threat Research شرکت Proofpoint به‌عنوان malware analyst و detection engineer فعالیت کرده و همچنین رهبری تیم‌های forensic و malware research در Deutsche Bank رو بر عهده داشته. علاوه بر کار حرفه‌ای، در کنفرانس‌های امنیتی سخنرانی می‌کنه و در حوزه research و ابزارهای open-source هم فعاله.

Get up to speed on state-of-the-art malware with this first-ever guide to analyzing malicious Windows software designed to actively avoid detection and forensic tools.

We’re all aware of Stuxnet, ShadowHammer, Sunburst, and similar attacks that use evasion to remain hidden while defending themselves from detection and analysis. Because advanced threats like these can adapt and, in some cases, self-destruct to evade detection, even the most seasoned investigators can use a little help with analysis now and then. Evasive Malware will introduce you to the evasion techniques used by today’s malicious software and show you how to defeat them.

Following a crash course on using static and dynamic code analysis to uncover malware’s true intentions, you’ll learn how malware weaponizes context awareness to detect and skirt virtual machines and sandboxes, plus the various tricks it uses to thwart analysis tools. You’ll explore the world of anti-reversing, from anti-disassembly methods and debugging interference to covert code execution and misdirection tactics. You’ll also delve into defense evasion, from process injection and rootkits to fileless malware. Finally, you’ll dissect encoding, encryption, and the complexities of malware obfuscators and packers to uncover the evil within.

You’ll learn how malware:

• Abuses legitimate components of Windows, like the Windows API and LOLBins, to run undetected
• Uses environmental quirks and context awareness, like CPU timing and hypervisor enumeration, to detect attempts at analysis
• Bypasses network and endpoint defenses using passive circumvention techniques, like obfuscation and mutation, and active techniques, like unhooking and tampering
• Detects debuggers and circumvents dynamic and static code analysis

You’ll also find tips for building a malware analysis lab and tuning it to better counter anti-analysis techniques in malware. Whether you’re a frontline defender, a forensic analyst, a detection engineer, or a researcher, Evasive Malware will arm you with the knowledge and skills you need to outmaneuver the stealthiest of today’s cyber adversaries.

Table of Contents

Part I: The Fundamentals

1. Windows Foundational Concepts

2. Malware Triage and Behavioral Analysis

3. Static and Dynamic Code Analysis

Part II: Context Awareness and Sandbox Evasion

4. Enumerating Operating System Artifacts

5. User Environment and Interaction Detection

6. Enumerating Hardware and Network Configurations

7. Runtime Environment and Virtual Processor Anomalies

8. Evading Sandboxes and Disrupting Analysis

Part III: Anti-Reversing

9. Anti-Disassembly

10. Anti-Debugging

11. Covert Code Execution and Misdirection

Part IV: Defense Evasion

12. Process Injection, Manipulation, and Hooking

13. Evading Endpoint and Network Defenses

14. Introduction to Rootkits

15. Fileless, Living Off the Land, and Anti-Forensics Techniques

16. Encoding and Encryption

17. Packers and Unpacking Malware

A. Building an Anti-Evasion Analysis Lab

B. Windows Functions Used for Evasion

C. Further Reading and Resources

Review

"A complete compendium of countermeasures used by malware to avoid detection, useful to anyone implementing defensive technologies."

—Ivan Kwiatkowski, Lead Threat Researcher at Harfang Lab

“Evasive Malware delivers an in-depth exploration of malware evasion tactics. Beyond catering to seasoned analysts, the author extends a helping hand to beginners, briefly covering fundamental skills to ensure the material is accessible and relevant to all. With included file hashes for hands-on learning, it's a must-have for anyone who needs to identify, investigate, and analyze modern malware.”

—Anuj Soni, Malware Reverse Engineer; SANS Certified Instructor, author of SANS FOR710

"A friendly and up-to-date compendium of common techniques that malware can use to evade detection and make the analysis harder. Reading this book can help everyone who starts their adventure with malware analysis avoid a lot of confusion, and quickly recognize the common evasion patterns they are dealing with."

—Aleksandra “Hasherezade” Doniec, malware analyst and open source developer; author of PE-sieve memory scanner

“Malware analysts looking to expand their reverse engineering skills will learn many practical techniques from this book, [along with] insightful explanations of common ways in which malware evades detection and confuses analysts. . . If you're looking to continue your journey through the world of malware analysis, you'll find many learning opportunities in this delightful and technical read!”

—Lenny Zeltser, Faculty Fellow, SANS Institute

About the Author

Kyle Cucci has over 17 years in cybersecurity and IT, including roles as a malware analyst and detection engineer with Proofpoint’s Threat Research team and leader of the forensic investigations and malware research teams at Deutsche Bank. Cucci regularly speaks at security conferences and has led international trainings and workshops on topics such as malware analysis and security engineering. In his free time, Cucci enjoys contributing to the community via open source tooling, research, and blogging.