Malware Analyst's Cookbook: recetas prácticas para el analista

Sinopsis

Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code (Michael Ligh, Steven Adair, Blake Hartstein, Matthew Richard, Wiley, 2010) es un libro de referencia organizado como un recetario: cada sección presenta un problema concreto y su solución con herramientas y código.

A diferencia de Practical Malware Analysis que enseña un método lineal, el Cookbook es modular. Puedes saltar directamente al capítulo que necesitas: análisis de PDFs maliciosos, debugging de shellcode, memoria forense, análisis de tráfico de red.

Público objetivo

• Analistas de malware con experiencia básica que buscan soluciones a problemas específicos
• Equipos SOC que necesitan una referencia de consulta rápida
• Investigadores que quieren scripts y herramientas para automatizar tareas

Nivel requerido: experiencia previa con análisis de malware. Este no es un libro para principiantes absolutos.

Lo que aprenderás

Análisis de documentos maliciosos

Cómo analizar PDFs, documentos Office y archivos Flash con macros maliciosas. Extracción de shellcode embebido, desobfuscación de JavaScript y análisis de exploits en documentos.

Debugging y análisis de shellcode

Técnicas para aislar, decodificar y analizar shellcode. Uso de debuggers para tracing de ejecución. Reconocimiento de patrones de shellcode comunes (egg hunters, staged payloads).

Análisis de tráfico de red

Captura y análisis de comunicaciones C2. Decodificación de protocolos propietarios. Identificación de beaconing, exfiltración de datos y comunicación con servidores de descarga.

Memoria forense

Análisis de dumps de memoria con Volatility (versiones tempranas). Identificación de procesos ocultos, inyección de código, hooks y rootkits en memoria.

Herramientas y automatización

Scripts Python para automatizar tareas repetitivas: parseo de PE, extracción de strings ofuscadas, decodificación de configuraciones de malware, generación de IOCs.

Puntos fuertes

Formato recetario. Cada "receta" es autocontenida: problema, herramientas, pasos, resultado. Perfecto para consulta rápida cuando te enfrentas a un tipo de muestra que no conoces.

Cobertura amplia. Cubre áreas que PMA no toca: documentos maliciosos, análisis de red, memoria forense. Es un complemento natural.

Scripts incluidos. El DVD original (ahora disponible online) incluye herramientas y scripts que ilustran cada técnica. Aunque muchos necesitan actualización a Python 3, la lógica sigue siendo válida.

Autores con experiencia real. Los cuatro autores trabajaban en respuesta a incidentes y análisis de malware profesionalmente. Las recetas vienen de problemas reales, no de escenarios académicos.

Puntos débiles

Publicado en 2010. Más antiguo que PMA. Las herramientas específicas mencionadas han evolucionado o han sido reemplazadas. Volatility 2 → Volatility 3. Python 2 → Python 3. Los conceptos persisten, las implementaciones no.

Organización a veces caótica. Al ser un recetario, no tiene la progresión lineal de un libro de texto. Para principiantes puede resultar desorientador.

Sin cobertura de técnicas modernas. Fileless malware, living-off-the-land, supply chain attacks y malware en lenguajes modernos (Go, Rust) no están cubiertos.

Alternativas y complementos

Libro	Cuándo elegirlo
Practical Malware Analysis	Si necesitas aprender el método desde cero
The Art of Memory Forensics	Si quieres profundizar específicamente en memoria forense (evolución del capítulo de memoria del Cookbook)
Learning Malware Analysis (Monnappa)	Si buscas un recetario más moderno con herramientas actualizadas

Veredicto

El Cookbook no es el primer libro que debes leer, pero sí uno que querrás tener siempre a mano. Es la referencia que consultas cuando te llega una muestra que no sabes cómo atacar. Los conceptos detrás de cada receta siguen siendo sólidos en 2026, aunque las implementaciones necesitan actualización.