Windows Internals: la base que todo analista necesita

Sinopsis

Windows Internals (Mark Russinovich, David Solomon, Alex Ionescu, Microsoft Press) es la documentación definitiva de cómo funciona Windows internamente. Publicado en dos volúmenes (Part 1 y Part 2), cubre la arquitectura completa del sistema operativo: procesos, threads, memoria virtual, sistema de I/O, registro, seguridad, networking y el kernel.

No es un libro sobre malware. Es el libro que necesitas para entender por qué el malware funciona como funciona en Windows. El 80% del malware en producción es para Windows. Sin entender las estructuras internas que el malware manipula, tu análisis será superficial.

Público objetivo

• Analistas de malware que quieren entender qué pasa debajo de la superficie
• Reverse engineers que necesitan interpretar llamadas al sistema y estructuras del kernel
• Desarrolladores de herramientas de seguridad (EDR, AV)
• Cualquier profesional de seguridad que trabaje con Windows

Nivel requerido: programación (C preferiblemente), familiaridad básica con Windows. No necesitas saber assembly para empezar, pero los capítulos avanzados lo asumen.

Lo que aprenderás

Procesos y threads

Cómo Windows crea, gestiona y destruye procesos. Estructuras EPROCESS y ETHREAD. Job objects. Cómo el malware explota la creación de procesos (process hollowing, fork&run) y cómo las herramientas de seguridad los monitorizan.

Sistema de memoria

Memoria virtual, page tables, working sets, shared memory, memory-mapped files. Entender esto es clave para análisis de memoria forense y para comprender técnicas de inyección de código.

Seguridad

Tokens de acceso, ACLs, privilegios, integridad levels, UAC. Cómo el malware escala privilegios y cómo Windows intenta prevenirlo. Sin este capítulo, no entiendes por qué un exploit de escalamiento funciona.

Kernel y drivers

Arquitectura del kernel, system calls, interrupt handling, driver model. Base necesaria para entender rootkits y malware de kernel.

Registro

Cómo funciona internamente el registro de Windows. El malware usa el registro para persistencia, configuración y evasión. Entender su estructura te permite detectar modificaciones sospechosas.

Puntos fuertes

Fuente primaria. Russinovich trabaja en Microsoft (ahora CTO de Azure). Tiene acceso al código fuente de Windows. No hay otra fuente con este nivel de autoridad y precisión.

Herramientas incluidas. Cada concepto se demuestra con Sysinternals (Process Explorer, Process Monitor, etc.), que Russinovich creó. Aprendes la teoría y la herramienta al mismo tiempo.

Actualización constante. La 7a edición (2022) cubre Windows 10/11 con los cambios de seguridad más recientes: VBS, Credential Guard, HVCI.

Aplicable a defensa y ataque. Entender Windows internals te sirve igual si defiendes que si haces red teaming. Es conocimiento fundamental neutro.

Puntos débiles

Extenso. Dos volúmenes, 1500+ páginas total. No es lectura casual.

No cubre malware directamente. Es un libro de sistemas operativos, no de seguridad. Tú debes hacer la conexión entre "así funciona Windows" y "así lo explota el malware".

Puede ser árido. Algunos capítulos (I/O system, storage) son menos relevantes para analistas de malware y pueden ser densos sin motivación directa.

Alternativas y complementos

Libro	Cuándo elegirlo
Windows Kernel Programming (Yosifovich)	Si quieres un enfoque más práctico (escribir drivers)
Practical Malware Analysis	Si prefieres aprender Windows internals en contexto de malware
Rootkits and Bootkits (Matrosov)	Si tu foco es kernel malware (complemento perfecto)

Veredicto

No es el primer libro que debes leer, pero sí el que más te hará crecer como analista. PMA te enseña el método. Windows Internals te da la profundidad. Juntos, tienes la base para analizar cualquier malware de Windows con rigor. Lee Part 1 primero (procesos, memoria, seguridad). Part 2 cuando lo necesites.