第1章 Android程序分析環境搭建
1.1 Windows分析環境搭建
1.1.1 安裝JDK
1.1.2 安裝Android SDK
1.1.3 安裝Android NDK
1.1.4 Eclipse集成開發環境
1.1.5 安裝CDT、ADT插件
1.1.6 創建Android Virtual Device
1.1.7 使用到的工具
1.2 Linux分析環境搭建
1.2.1 本書的Linux環境
1.2.2 安裝JDK
1.2.3 在Ubuntu上安裝Android SDK
1.2.4 在Ubuntu上安裝Android NDK
1.2.5 在Ubuntu上安裝Eclipse集成開發環境
1.2.6 在Ubuntu上安裝CDT、ADT插件
1.2.7 創建Android Virtual Device
1.2.8 使用到的工具
1.3 本章小結
第2章 如何分析Android程序
2.1 編寫第一個Android程序
2.1.1 使用Eclipse創建Android工程
2.1.2 編譯生成APK文件
2.2 破解第一個程序
2.2.1 如何動手？
2.2.2 反編譯APK文件
2.2.3 分析APK文件
2.2.4 修改Smali文件代碼
2.2.5 重新編譯APK文件並簽名
2.2.6 安裝測試
2.3 本章小結
第3章 進入Android Dalvik虛擬機
3.1 Dalvik虛擬機的特點--掌握Android程序的運行原理
3.1.1 Dalvik虛擬機概述
3.1.2 Dalvik虛擬機與Java虛擬機的區別
3.1.3 Dalvik虛擬機是如何執行程序的
3.1.4 關於Dalvik虛擬機JIT（即時編譯）
3.2 Dalvik彙編語言基礎為分析Android程序做準備
3.2.1 Dalvik指令格式
3.2.2 DEX文件反彙編工具
3.2.3 了解Dalvik寄存器
3.2.4 兩種不同的寄存器表示方法--v命名法與p命名法
3.2.5 Dalvik字節碼的類型、方法與字段表示方法
3.3 Dalvik指令集
3.3.1 指令特點
3.3.2 空操作指令
3.3.3 數據操作指令
3.3.4 返回指令
3.3.5 數據定義指令
3.3.6 鎖指令
3.3.7 實例操作指令
3.3.8 數組操作指令
3.3.9 異常指令
3.3.10 跳轉指令
3.3.11 比較指令
3.3.12 字段操作指令
3.3.13 方法調用指令
3.3.14 數據轉換指令
3.3.15 數據運算指令
3.4 Dalvik指令集練習--寫一個Dalvik版的Hello World
3.4.1 編寫smali文件
3.4.2 編譯smali文件
3.4.3 測試運行
3.5 本章小結
第4章 Android可執行文件
4.1 Android程序的生成步驟
4.2 Android程序的安裝流程
4.3 dex文件格式
4.3.1 dex文件中的數據結構
4.3.2 dex文件整體結構
4.3.3 dex文件結構分析
4.4 odex文件格式
4.4.1 如何生成odex文件
4.4.2 odex文件整體結構
4.4.3 odex文件結構分析
4.5 dex文件的驗證與優化工具dexopt的工作過程
4.6 Android應用程序另類破解方法
4.7 本章小結
第5章 靜態分析Android程序
5.1 什麼是靜態分析
5.2 快速定位Android程序的關鍵代碼
5.2.1 反編譯apk程序
5.2.2 程序的主Activity
5.2.3 需重點關注的Application類
5.2.4 如何定位關鍵代碼--六種方法
5.3 smali文件格式
5.4 Android程序中的類
5.4.1 內部類
5.4.2 監聽器
5.4.3 注解類
5.4.4 自動生成的類
5.5 閱讀反編譯的smali代碼
5.5.1 循環語句
5.5.2 switch分支語句
5.5.3 try/catch語句
5.6 使用IDA Pro靜態分析Android程序
5.6.1 IDA Pro對Android的支持
5.6.2 如何操作
5.6.3 定位關鍵代碼--使用IDA Pro進行破解的實例
5.7 惡意軟件分析工具包--Androguard
5.7.1 Androguard的安裝與配置
5.7.2 Androguard的使用方法
5.7.3 使用Androguard配合Gephi進行靜態分析
5.7.4 使用androlyze.py進行靜態分析
5.8 其他靜態分析工具
5.9 閱讀反編譯的Java代碼
5.9.1 使用dex2jar生成jar文件
5.9.2 使用jd-gui查看jar文件的源碼
5.10 集成分析環境--santoku
5.11 本章小結
第6章 基於Android的ARM彙編語言基礎--逆向原生！
6.1 Android與ARM處理器
6.1.1 ARM處理器架構概述
6.1.2 ARM處理器家族
6.1.3 Android支持的處理器架構
6.2 原生程序與ARM彙編語言--逆向你的原生Hello ARM
6.2.1 原生程序逆向初步
6.2.2 原生程序的生成過程
6.2.3 必須了解的ARM知識
6.3 ARM彙編語言程序結構
6.3.1 完整的ARM彙編程序
6.3.2 處理器架構定義
6.3.3 段定義
6.3.4 注釋與標號
6.3.5 彙編器指令
6.3.6 子程序與參數傳遞
6.4 ARM處理器尋址方式
6.4.1 立即尋址
6.4.2 寄存器尋址
6.4.3 寄存器移位尋址
6.4.4 寄存器間接尋址
6.4.5 基址尋址
6.4.6 多寄存器尋址
6.4.7 堆棧尋址
6.4.8 塊拷貝尋址
6.4.9 相對尋址
6.5 ARM與Thumb指令集
6.5.1 指令格式
6.5.2 跳轉指令
6.5.3 存儲器訪問指令
6.5.4 數據處理指令
6.5.5 其他指令
6.6 用於多媒體編程與浮點計算的NEON與VFP指令集
6.7 本章小結
第7章 Android NDK程序逆向分析
7.1 Android中的原生程序
7.1.1 編寫一個例子程序
7.1.2 如何編譯原生程序
7.2 原生程序的啟動流程分析
7.2.1 原生程序的入口函數
7.2.2 main函數究竟何時被執行
7.3 原生文件格式
7.4 原生C程序逆向分析
7.4.1 原生程序的分析方法
7.4.2 for循環語句反彙編代碼的特點
7.4.3 if...else分支語句反彙編代碼的特點
7.4.4 while循環語句反彙編代碼的特點
7.4.5 switch分支語句反彙編代碼的特點
7.4.6 原生程序的編譯時優化
7.5 原生C++程序逆向分析
7.5.1 C++類的逆向
7.5.2 Android NDK對C++特性的支持
7.5.3 靜態鏈接STL與動態鏈接STL的代碼區別
7.6 Android NDK JNI API逆向分析
7.6.1 Android NDK提供了哪些函數
7.6.2 如何靜態分析Android NDK程序
7.7 本章小結
第8章 動態調試Android程序
8.1 Android動態調試支持
8.2 DDMS的使用
8.2.1 如何啟動DDMS
8.2.2 使用LogCat查看調試信息
8.3 定位關鍵代碼
8.3.1 代碼注入法--讓程序自己吐出注冊碼
8.3.2 棧跟蹤法
8.3.3 Method Profiling
8.4 使用AndBug調試Android程序
8.4.1 安裝AndBug
8.4.2 使用AndBug
8.5 使用IDA Pro調試Android原生程序
8.5.1 調試Android原生程序
8.5.2 調試Android原生動態鏈接庫
8.6 使用gdb調試Android原生程序
8.6.1 編譯gdb與gdbserver
8.6.2 如何調試
8.7 本章小結
第9章 Android軟件的破解技術
9.1 試用版軟件
9.1.1 試用版軟件的種類
9.1.2 實例破解--針對授權KEY方式的破解
9.2 序列號保護
9.3 網絡驗證
9.3.1 網絡驗證保護思路
9.3.2 實例破解--針對網絡驗證方式的破解
9.4 In-app Billing（應用內付費）
9.4.1 In-app Billing原理
9.4.2 In-app Billing破解方法
9.5 Google Play License保護
9.5.1 Google Play License保護機制
9.5.2 實例破解--針對Google Play License方式的破解
9.6 重啟驗證
9.6.1 重啟驗證保護思路
9.6.2 實例破解--針對重啟驗證方式的破解
9.7 如何破解其他類型的Android程序
9.7.1 Mono for Android開發的程序及其破解方法
9.7.2 Qt for Android開發的程序及其破解方法
9.8 本章小結
第10章 Android程序的反破解技術
10.1 對抗反編譯
10.1.1 如何對抗反編譯工具
10.1.2 對抗dex2jar
10.2 對抗靜態分析
10.2.1 代碼混淆技術
10.2.2 NDK保護
10.2.3 外殼保護
10.3 對抗動態調試
10.3.1 檢測調試器
10.3.2 檢測模擬器
10.4 防止重編譯
10.4.1 檢查簽名
10.4.2 校驗保護
10.5 本章小結
第11章 Android繫統攻擊與防範
11.1 Android繫統安全概述
11.2 手機ROOT帶來的危害
11.2.1 為什麼要ROOT手機
11.2.2 手機ROOT後帶來的安全隱患
11.2.3 Android手機ROOT原理
11.3 Android權限攻擊
11.3.1 Android權限檢查機制
11.3.2 串謀權限攻擊
11.3.3 權限攻擊檢測
11.4 Android組件安全
11.4.1 Activity安全及Activity劫持演示
11.4.2 Broadcast Receiver 安全
11.4.3 Service安全
11.4.4 Content Provider安全
11.5 數據安全
11.5.1 外部存儲安全
11.5.2 內部存儲安全
11.5.3 數據通信安全
11.6 ROM安全
11.6.1 ROM的種類
11.6.2 ROM的定制過程
11.6.3 定制ROM的安全隱患
11.6.4 如何防範
11.7 本章小結
第12章 DroidKongFu變種病毒實例分析
12.1 DroidKongFu病毒介紹
12.2 配置病毒分析環境
12.3 病毒執行狀態分析
12.3.1 使用APIMonitor初步分析
12.3.2 使用DroidBox動態分析
12.3.3 其他動態分析工具
12.4 病毒代碼逆向分析
12.4.1 Java層啟動代碼分析
12.4.2 Native層啟動代碼分析
12.4.3 Native層病毒核心分析
12.5 DroidKongFu病毒框架總結
12.6 病毒防治
12.7 本章小結

推薦序
第一次看到生強的文章是在看雪安全論壇，他以“非蟲”的筆名發表了幾篇Android安全的文章。標題很低調，內容卻極為豐富，邏輯清晰，實踐性強，最重要的是很有“干貨”。後來得知他在寫書，一直保持關注，今日終於要出版了。
這本書的價值無疑是巨大的。
在此之前，即便我們把範圍擴大到全球，也沒有哪本書具體而繫統地專門介紹Android逆向技術和安全分析技術。這可能有多方面的原因，但其中最重要的一點是競爭與利益。推動信息安全技術發展的，除了愛好者，大致可以分為三類：學術研究人員、企業研發人員、攻擊者。
在Android安全方向，研究人員相對更為開放——許多團隊開放了繫統原型的源碼，或者提供了可用的工具——但有時候他們也隻發表論文以介紹繫統設計和結果，卻不公開可以復用的資源。近兩年來，*會議對Android安全的研究頗為青睞，他們如此選擇，可以理解。
在這個市場正高速增長的產業中，對企業而言，核心技術更是直接關繫到產品的功能和性能，關繫到企業競爭力和市場份額，許多企業會為了擴大技術影響而發布白皮書，但真正前沿的、獨有的東西，極少會輕易公開。
攻擊者則最為神秘，為了躲避風險，他們大都想盡一切辦法隱藏自己的痕跡，低調以求生存。在地下產業鏈迅速形成後，對他們而言，安全技術更是非法獲利的根本保障。
在這種情況下，剛剛進入或希望進入這一領域的人會發現，他們面臨的是各種零散而不成體繫的、質量參次不齊的、可能泛泛而談的、也可能已經過時的技術資料，他們不得不去重復別人走過的路、犯別人犯過的錯，將精力消耗在這些瑣碎之中，而難以真正跟上技術的發展。
生強的這本書，無疑將大為改善這種局面，堪稱破局之作。做到這一點頗為不易，這意味著大量的閱讀、總結、嘗試和創造。事實上，書中介紹的很多技術和知識，我此前從未在別的地方看到過。
另一方面，在Android這個平臺，我們已經面臨諸多的威脅。惡意代碼數量呈指數增長，並且出現了多種對抗分析、檢測、查殺的技術；應用軟件和數字內容的版權不斷遭到侵害，軟件破解、軟件篡改、廣告庫修改和植入、惡意代碼植入、應用內付費破解等普遍存在；應用軟件本身的安全漏洞頻繁出現在國內外互聯網企業的產品中，數據洩露和賬戶被盜等潛在風險讓人擔憂；官方繫統、第三方定制繫統和預裝軟件的漏洞不斷被發現，對繫統安全與穩定產生極大的威脅；移動支付從概念逐步轉為實踐，而對通信技術的攻擊、對算法和協議的攻擊時常發生；移動設備正融入辦公環境，但移動平臺的攻擊與APT攻擊結合的趨勢日益明顯……更糟的是，隨著地下產業鏈的不斷成熟和擴大，以及攻擊技術的不斷發展和改進，這些威脅和相關攻擊隻會來勢更兇。
毫無疑問，在Android安全上我們面臨極大的挑戰。在這個時候，生強的這本書起到的將是雪中送炭的作用。
安全技術幾乎都是雙刃劍，它們既能協助我們開發更有效的保護技術，也幾乎必定會被攻擊者學習和參考。這裡的問題是，大量安全技術的首次大範圍公開，是否會帶來廣泛的模仿和學習，從而引發更多的攻擊？在這個問題上，安全界一直存在爭議。1987年出版的一本書中首次公布了感染式病毒的反彙編代碼，引發大量模仿的新病毒出現。自此，這個問題成為每一本裡程碑式的安全書籍都無法繞開的話題。我個人更喜歡的則是這樣一個觀點，在《信息安全工程》中，RossAnderson說：“盡管一些惡意分子會從這樣的書中獲益，但他們大都已經知道了這些技巧，而好人們獲得的收益會多得多。”
在生強寫這本書的過程中，我們就不少細節有過交流和討論。他的認真給我留下了非常深刻的印像。與其他的安全書籍相比，這本書在這樣幾個方面尤為突出：
實踐性強。這本書的幾乎每一個部分，都結合實際例子，一步步講解如何操作。因此，它對剛入門的人或者想快速了解其中某個話題的人會有很大的幫助。事實上，缺乏可操作性，是Android安全方面現有論文、白皮書、技術文章和書籍*的問題之一，很多人讀到最後可能對內容有了一些概念，卻不知道從何下手。但這本書則有很大不同。
時效性強。在交流中，我驚訝地發現，剛剛發布不久的Santoku虛擬機、APIMonitor等工具，以及Androguard的新特性等，已經出現在了這本書中。這意味著，生強在一邊寫作的同時，還一邊關注業界的*進展，並做了學習、嘗試和總結。因此，這本書將具有幾乎和論文一樣的時效性。
深度和廣度適當。這本書涉及的面很廣，實際上，僅僅是目錄本身，就是一份極好的自學參考大綱。而其中最實用的那些話題，例如常見C/C++代碼結構的ARM目標程序反彙編特點，沒有源碼情況下對Android軟件的調試技術等，都有深入的介紹。
此前，我曾寫過一本叫amatutor的Android惡意代碼分析教程，並通過網絡分享，後來由於時間和精力暫停了更新。這段經歷讓我尤其深刻地體會到在這樣一個新的領域寫出一本好書的不易。一直有人來信希望我能繼續寫，但自從了解到生強的這些工作，我就松了一口氣，並向他們大力推薦這本書。同時，我也向周邊的同事、同行推薦，我相信這本書的內容可以證明它的價值。

肖梓航（Claud）
安天實驗室高級研究員
secmobi.com創始人

近幾年，Android在國內的發展極其迅猛，這除了相關產品強大的功能與豐富的應用外，更是因為它優良的性能表現吸引著用戶。2011年可謂是Android的風光年，從手機生產商到應用開發者都紛紛捧場，短短幾個月的時間，Android在國內紅遍了大街小巷，截止到2012年的第一個季度，Android在國內的市場份額就超過60%，將曾經風靡一時的塞班繫統遠遠的甩在了身後，與此同時，它也帶動了國內移動互聯網行業的發展，創造了更多就業的崗位，國內IT人士為之雀躍歡呼。
隨著Android在國內的興起，基於Android的平臺應用需求也越來越復雜。形形色色的軟件壯大了Android市場，也豐富了我們的生產生活，越來越多的人從起初的嘗試到享受再到依賴，沉浸在Android的神奇海洋中。事情有利也總有弊，即使Android如此優秀也會有怨聲載道的時候，各種信息洩露、惡意扣費、繫統被破壞的事件也屢見不鮮，Android繫統的安全也逐漸成為人們所關注的話題。
如今市場上講解Android開發的書籍已經有很多了，從應用軟件開發層到繫統底層的研究均豐富涵蓋，其中不乏一些經典之作，然而遺憾的是，分析Android軟件及繫統安全的書籍卻一本也沒有，而且相關的中文資料也非常匱乏，這使得普通用戶以及大多數Android應用開發者對繫統的安全防護及軟件本身沒有一個全面理性的認識。因此，筆者決定將自身的實際經驗整理，編寫為本書。
內容導讀
本書主要從軟件安全和繫統安全兩個方面講解Android平臺存在的攻擊與防範方法。
第1章和第2章主要介紹Android分析環境的搭建與Android程序的分析方法。
第3章詳細介紹了DalvikVM彙編語言，它是Android平臺上進行安全分析工作的基礎知識，讀者隻有掌握了這部分內容纔能順利地學習後面的章節。
第4章介紹了Android平臺的可執行文件，它是Android軟件得以運行的基石，我們大多數的分析工作都是基於它，因此這部分內容必須掌握。
第5章起正式開始了對Android程序的分析，對這部分的理解與運用完全是建立在前面章節的基礎之上。這一章詳細講述了Android軟件的各種反彙編代碼特征，以及可供使用的分析工具，如何合理搭配使用它們是這章需要學習的重點。
第6章主要講解ARM彙編語言的基礎知識，在這一章中，會對ARM彙編指令集做一個簡要的介紹，為下一章的學習做鋪墊。
第7章是本書的一個高級部分，主要介紹了基於ARM架構的Android原生程序的特點以及分析它們的方法，讀者需要在這一章中仔細的體會並實踐，鋻於此類程序目前在市場上比較流行，讀者在閱讀時需要多進行實踐操作，多動手分析這類代碼，加強自己的逆向分析能力。
第8章介紹了Android平臺上軟件的動態調試技術，動態調試與靜態分析是逆向分析程序時的兩大主要技術手段，各有著優缺點，通過動態調試可以讓你看到軟件運行到某一點時程序的狀態，對了解程序執行流程有很大的幫助。
第9章詳細介紹了Android平臺軟件的破解方法。主要分析了目前市場上一些常見的Android程序保護方法，分析它們的保護效果以及介紹如何對它們進行破解，通過對本章的學習，讀者會對Android平臺上的軟件安全有一種“恍然大悟”的感覺。
第10章介紹了在面對軟件可能被破解的情況下，如何加強Android平臺軟件的保護，內容與第9章是對立的，隻有同時掌握了攻與防，纔能將軟件安全真正地掌握到位。
第11章從繫統安全的角度出發，分析了Android繫統中不同環節可能存在的安全隱患，同時介紹了面對這些安全問題時，如何做出相應的保護措施。另外，本章的部分小節還從開發人員的角度出發，講解不安全代碼對繫統造成的危害，讀者在掌握這部分內容後，編寫代碼的安全意識會明顯提高。
第12章采用病毒實戰分析的方式，將前面所學的知識全面展示並加以應用，讓讀者能徹底地掌握分析Android程序的方法。本章的內容詳實、知識涵蓋範圍廣，讀者完全掌握本章內容後，以後動手分析Android程序時，便能夠信手撚來。
為了使讀者對文中所講述的內容有深刻的認識，並且在閱讀時避免感到乏味，書中的內容不會涉及太多的基礎理論知識，而更多的是采用動手實踐的方式進行講解，所以在閱讀本書前假定讀者已經掌握了Android程序開發所必備的基礎知識，如果讀者還不具備這些基礎知識的話，請先打好基礎後再閱讀本書。
適合的讀者
本書適合以下讀者：
?Android應用開發者、Android繫統開發工程師、Android繫統安全工作者。
本書約定
為了使書中講述的知識更加容易理解，思路更加清晰，本書做了如下約定：
? 本書在講解部分內容時，可能會對Android繫統與內核的源碼加以引用，如文中無具體說明繫統版本，則統一為Android4.1的繫統， Linux 3.4的內核。
? 本書不介紹Android繫統源碼的下載方法，假定讀者已經自行下載好了Android繫統源碼。
?本書在引用Android繫統源碼時，為了避免代碼占用過多篇幅及影響主體的分析思路，在不影響理解的情況下，對摘抄的內容進行了適量的刪減。
? 本書在列舉實例代碼時，為了方便讀者閱讀與理解，對代碼中的關鍵部分采用加粗顯示。
? 本書中在給出命令的格式用法時，為了醒目起見，采用斜體顯示。
? 對於部分操作容易發生錯誤或理解上造成歧義的地方，本書會在下面加上文本框注解。如：
注意 Smali代碼的語法與格式會在本書第3章進行詳細介紹。
本書源代碼
下載地址：
http://www.ituring.com.cn/book/1131
點擊“隨書下載”即可看到本書源代碼的下載鏈接。
本書正文中提到的“隨書的附圖x”也一並打包在源代碼中。
致謝
首先，要感謝本書的編輯陳冰先生。在編寫本書時，陳冰先生對書中每個章節的細節都嚴格把關，並多次耐心地教導我寫作的技巧，是他對書稿質量的嚴格要求，以及對工作的一絲不苟，纔使得本書得以順序出版。
感謝我的父母，是他們養育了我，給了我生命，他們永遠是我心中最偉大的人。
寫作本身是一件很辛苦的事，尤其是每天還要被生活中的瑣事困擾。在這裡，我要感謝這半年多來對我無言支持的大哥與大嫂，大嫂可口的飯菜補充了我每天寫作所需的營養，而大哥更是幫助我解決了很多煩心的瑣事，讓我在寫作時無後顧之憂。
好書總能給人帶來心靈上的震撼。感謝美女作家李沉嫣，是她那扣人心弦的文字感染了我，給了我創作的最初源動力。
感謝那些共享Android安全技術的組織與個人，如果沒有他們前期的奉獻，筆者現在可能還處在獨自探索的階段，不可能有機會與大家分享如此前沿的技術。
看雪學院是國內最具權威性的軟件安全研究論壇。感謝看雪學院站長段鋼先生對本書內容上的肯定與支持。
最後，感謝那些關注本書、為本書提過意見的朋友，你們的支持是我寫作本書最大的動力。

作者：豐生強
2012年11月2日