基礎篇
第1章Android虛擬機
1.1Dalvik虛擬機
1.1.1DVM的特點
1.1.2DVM虛擬機啟動流程
1.1.3DVM虛擬機運行過程
1.2odex文件
1.3ART虛擬機
1.3.1ART虛擬機的創建
1.3.2ART虛擬機的啟動
1.4dex2oat
1.4.1概述
1.4.2Oat文件格式介紹
1.4.3ART文件介紹
1.4.4Oat與ART文件關繫
1.5ART虛擬機類的鏈接與初始化
1.6本章小結
第2章Native層
2.1Native開發
2.1.1JNI介紹
2.1.2JNI數據類型轉換
2.1.3Native調用Java代碼
2.2ARM彙編
2.2.1ARM彙編介紹
2.2.2ARM彙編數據類型
2.2.3ARM寄存器
2.2.4ARM模式與Thumb模式
2.2.5ARM指令
2.3Native Hook
2.3.1Got/Plt Hook
2.3.2inline Hook
2.4本章小結
第3章iOS基礎知識
3.1iOS包結構分析
3.1.1_CodeSignature文件夾
3.1.2lproj文件夾
3.1.3xcent文件
3.1.4mobileprovision文件
3.1.5info.plist文件
3.2iOS應用啟動過程分析
3.3本章小結
理論篇
第4章ATT&CK框架
4.1ATT&CK框架背景介紹
4.2ATT＆CK框架的使用
4.3本章小結
第5章ATT&CK for mobile框架
5.1初始訪問技術
5.2執行戰術
5.3持久化戰術
5.4權限提升戰術
5.5防御規避
5.6憑證訪問戰術
5.7發現戰術
5.8橫向移動戰術
5.9收集戰術
5.10命令控制戰術
5.11滲濾技術
5.12衝擊戰術
5.13本章小結
第6章LLVM編譯框架
6.1LLVM概論
6.1.1LLVM介紹
6.1.2LLVM功能
6.1.3LLVM的主要子項目
6.1.4LLVM周邊項目
6.1.5LLVM目錄結構
6.2LLVM安裝與編譯
6.2.1LLVM的下載與安裝
6.2.2LLVM的編譯
6.2.3LLVM的使用
6.2.4編寫LLVM Pass
6.3IR入門
6.4本章小結
實戰篇
第7章整體加固實戰
7.1第一代加固技術簡介
7.1.1早期靜態殼
7.1.2後期動態加載殼
7.2APK包的結構
7.2.1APK打包過程
7.2.2軟件安裝過程
7.2.3軟件啟動流程
7.2.4AndroidManifest.xml
7.2.5resource.arsc
7.3原理介紹
7.4加固流程
7.5代碼實現
7.6本章小結
第8章指令抽取加固實戰
8.1第二代加固技術簡介
8.2Dex文件結構
8.3指令抽取恢復介紹
8.4加固流程
8.5代碼實現
8.6本章小結
第9章so文件加固
9.1第三代加固技術
9.1.1Dex2C
9.1.2VMP
9.2upx
9.3so文件格式
9.3.132位Elf文件解析
9.3.264位Elf文件解析
9.4upx的編譯
9.5本章小結
第10章基於OLLVM的加固殼開發
10.1OLLVM基礎
10.2OLLVM編譯與使用
10.3OLLVM殼原理
10.3.1指令替換混淆源碼分析
10.3.2控制流平展混淆源碼分析
10.3.3偽造控制流混淆源碼分析
10.4本章小結
第11章VMP加固技術
11.1VMP加固原理
11.2Dex VMP
11.2.1Dex VMP介紹
11.2.2Dvm虛擬機的解釋流程
11.2.3Advmp功能與源碼解析
11.3ARM VMP
11.3.1ARM VMP介紹
11.3.2編寫ARM VMP解釋器
11.3.3ARM VMP的加固流程
11.4本章小結
第12章iOS逆向工具的使用
12.1砸殼工具
12.1.1Clutch
12.1.2CrackerXI
12.2Classdump工具
12.3Tweaks工具
12.3.1Theos的前置環境
12.3.2安裝Theos
12.3.3編寫Tweaks程序
12.3.4Tweaks程序的編譯與安裝
12.4Cycript工具
12.4.1Cycript的安裝使用
12.4.2使用Cycript分析應用
12.4.3Cycript腳本
12.5本章小結
第13章進階逆向技巧
13.1使用Frida繞過SSLPinning
13.1.1HTTPS協議簡介
13.1.2SSLPinning技術
13.1.3繞過證書綁定
13.1.4使用SSLContext導入自定義證書
13.2終極抓包腳本
13.2.1抓包的攻防
13.2.2r0capture抓包原理
13.2.3r0capture抓包實踐
13.3Frida追蹤函數調用
13.3.1Frida Trace腳本解析
13.3.2Frida Trace腳本使用
13.4本章小結
案例篇
第14章Android惡意軟件分析
14.1遠程操控手機App分析
14.1.1配置MSF框架
14.1.2生成Android payload
14.1.3逆向分析木馬
14.2分析鎖機勒索軟件樣本
14.2.1勒索軟件的初步分析
14.2.2分析危險行為
14.2.3分析軟件釋放出來的應用
14.2.4鎖機軟件的解除
14.3可自我擴散的手機短信蠕蟲分析
14.3.1蠕蟲病毒分析
14.3.2分析木馬的本體
14.3.3分析結果
14.4本章小結
第15章APT攻擊案例分析
15.1APT簡介
15.2KONNI遠控木馬病毒
15.2.1KONNI惡意行為分析
15.2.2KONNI源碼逆向分析
15.2.3遠程控制機制解析
15.3GravityRAT間諜軟件
15.3.1GravityRAT惡意行為分析
15.3.2GravityRAT源碼逆向分析
15.4Anubis木馬
15.4.1Anubis木馬的功能與發展
15.4.2Anubis樣本行為逆向分析
15.5本章小結
參考文獻

視 頻 清 單

視 頻 名 稱時長位置
視頻1 Dalvik DVM虛擬機09分34秒1.1節 節首
視頻2 Dalvik DVM的特性12分45秒1.1.1節 節首
視頻3 Dalvik DVM進程機制10分16秒1.1.2節 節首
視頻4 Android ART虛擬機17分21秒1.3節 節首
視頻5 iOS包結構分析(上)09分06秒3.1節 節首
視頻6 iOS包結構分析(下)20分11秒3.1節 節首
視頻7 iOS文件繫統(上)08分18秒3.2節 節首
視頻8 iOS文件繫統(下)15分19秒3.2節 節首
視頻9 iOS應用啟動過程分析16分00秒3.2節 節首
視頻10 App一代加固簡介15分32秒7.1節 節首
視頻11 App動態加載殼原理18分16秒7.1.2節 節首
視頻12 iOS砸殼工具Clutch09分44秒12.1.1節 節首
視頻13 Tweaks工具環境安裝21分37秒12.3.1節 節首
視頻14 Tweaks創建項目與應用分析11分14秒12.3.3節 節首
視頻15 編譯運行Tweaks應用23分34秒12.3.4節 節首
視頻16 Cycript的安裝使用09分41秒12.4.1節 節首
視頻17 Cycript分析應用頁面14分25秒12.4.2節 節首
視頻18 App抓包之HTTPS協議11分01秒13.1.1節 節首
視頻19 SSLPinning技術16分31秒13.1.2節 節首
視頻20 遠控框架安裝與啟動13分40秒14.1.1節 節首
視頻21 MSF遠控樣本生成12分37秒14.1.2節 節首
視頻22 MSF遠控樣本分析13分10秒14.1.3節 節首
視頻23 APT攻擊簡介21分08秒15.1節 節首
視頻24 KONNI樣本分析（上）14分08秒15.2節 節首
視頻25 KONNI樣本分析（下）16分54秒15.2節 節首
視頻26 GravityRAT分析（上）14分21秒15.3節 節首
視頻27 GravityRAT分析（下）13分53秒15.3節 節首
視頻28 Anubis木馬樣本分析35分57秒15.4節 節首

在數字化浪潮中，移動互聯網的應用場景及應用深度將進一步優化，移動應用已經滲透到人們的工作和生活中。隨著移動終端的發展，移動應用所隱含的安全問題逐漸浮出水面，並越發深遠地影響著人們的切身利益。
據統計，全球每年至少新增150萬種移動端惡意軟件，至少造成超1600萬件移動惡意攻擊事件。近年來，工業和信息化部針對移動應用長期存在的違規收集用戶個人信息、違規獲取終端權限、隱私政策不完善等行為進行了多次綜合整治行動，國家等級保護2.0標準也增加了移動安全拓展標準，移動安全將會成為未來我國網絡安全人纔培養的一項核心內容。
本書作為《Android移動安全攻防實戰》（ISBN為9787302602224，2023年3月由清華大學出版社出版）的實戰攻防進階續作，將更加深入地為讀者展現移動安全領域中實網攻防的技術、戰術及案例剖析，通過理論闡述、體繫構築以及實踐沉澱，體繫化地展現移動安全攻防領域的魅力。
內容結構
本書分為4篇，共15章。
基礎篇
基礎篇包括第1~3章，目的是讓讀者掌握後續移動安全攻防進階階段所需的基礎知識體繫。第1章介紹了Android繫統發展過程中出現的兩代虛擬機——DVM與ART。隨著Android逆向人員與防護人員的對抗，Android安全攻防的戰場從Android應用逐漸下沉到Android繫統。為了保證Android應用的正常運行，很多防護手段在應用運行的時候會被解除，因此逆向人員會利用這一點，從應用運行的過程下手，攻破應用的安全防護。安全人員也會利用應用運行的過程構建更加難以突破的防線。希望讀者通過第1章的學習，對Android繫統的運行邏輯建立一個初步的認知。
第2章介紹了Android應用的Native層相關知識，包括充當Native與Java兩個層次橋梁關繫的JNI機制，以及ARM彙編基礎知識，還有針對Native函數的Hook手段。與Java層相比，Native層更加接近Android繫統的底層，因此分析的難度會更高，讀者通過第2章的學習，可以對Android繫統的結構與本質有一個明確認識。
第3章介紹了iOS應用包的結構以及應用啟動的流程，由於iOS的封閉性，大部分逆向人員很難接觸到iOS的底層，因此大部分攻防還是集中在應用層面，讀者通過第3章的學習，能夠更好地了解iOS應用。
理論篇
理論篇包括第4~6章，目的是幫助讀者完善移動安全攻防進階過程中所需的理論知識。第4章介紹了ATT&CK框架的各戰術階段及其包含的部分技術，在實際的攻防過程中，這些技術都會被靈活運用。如同兵法一樣，攻擊者不會死板地按照ATT&CK框架劃分的階段一板一眼地進攻，而是根據實際需求或者目標環境進行變化。
第5章介紹了ATT&CK for mobile框架中各戰術階段的技術。讀者可能會注意到一些技術會在多個戰術階段中重復出現，這是因為戰術重點描述了攻擊者在某個階段需要達到的目標，而技術是攻擊者達成目標的手段，為了達成目標，攻擊者會隨意使用這些技術，因此分析木馬病毒等惡意軟件時，除了識別出其中使用的技術，還要分析攻擊者利用這些技術收集了哪些數據，要達成什麼目標。
第6章介紹了LLVM的編譯、用法以及Pass程序的編寫。LLVM將傳統編譯過程拆分成3部分，不僅增加了編譯器模塊的可重用性，也使得許多開發者可以編寫針對中間碼的Pass，從而參與到編譯過程中。Android應用使用LLVM作為Native層代碼編譯器也進一步體現了Android繫統的開放性。
實戰篇
實戰篇包括第7~13章，通過剖析移動應用加固技術的核心實現，展現移動應用在攻防一線的對抗實戰技術。第7章介紹了整體加固技術的原理以及實現。整體加固的出現使得逆向人員難以獲取Android應用字節碼，阻礙了逆向人員對字節碼的反編譯分析，為了獲取源代碼，逆向人員需要解除應用的加固，又促使安全人員對加固技術進行升級。可以說，Android應用的加固與脫殼是安全攻防發展的一個直觀體現。
第8章介紹了指令抽取技術的原理以及實現，指令抽取破壞了內存中Dex文件的完整性，細化了代碼保護的粒度。安全人員可以指定具體的Java方法進行抽取保護，以平衡應用的安全性與性能。
第9章介紹了第三代加固技術，包括將Java代碼轉換成C代碼的Dex2C技術，對彙編指令的虛擬化保護技術，以及對so文件的壓縮加固技術。在實際的加固實踐中會將多種加固技術組合使用，甚至混合運用三代加固技術以增加應用破解的復雜性。
第10章介紹了OLLVM的編譯使用，並結合3種指令混淆的Pass源碼分析混淆的過程與原理，讀者可以結合2.2節和第6章進行學習。
第11章介紹了兩種不同層次的VMP加固技術。其中，Dex VMP借用了Android虛擬機的指令解析機制，而ARM VMP要求開發者有比較扎實的彙編語言功底。
第12章介紹了幾種針對iOS應用的逆向工具，基本上覆蓋了iOS應用分析的流程。當逆向人員獲取iOS應用包時，通過Cycript工具獲取應用的Controller信息，使用砸殼工具去除應用的加固，使用classdump提取頭文件代碼，最後利用頭文件的函數定義編寫Hook程序對應用進行動態調試。
第13章介紹了Frida抓包的手段，Frida腳本化運行的方式使得應用抓包可以自動化地進行。例如，MobSF的動態分析功能就將Frida抓包作為動態分析流程的一個環節。
案例篇
案例篇包括第14章和第15章，通過現實世界中移動應用惡意程序的案例，利用前述的攻防技戰術能力，進行實網級攻防對抗的案例分析。第14章分析了3類現實生活中常見的Android惡意軟件，包括遠程操控類惡意App、鎖機勒索類惡意App、手機短信蠕蟲類惡意App，幫助讀者體驗現實世界中攻防對抗的技戰術，結合實戰分析技術，對惡意軟件程序進行逆向反編譯，分析該惡意軟件的工作原理和危害。
第15章分析了3個APT案例。APT組織通常會將惡意代碼封裝在一個單獨的模塊內，應用本體在很多時候隻是充當了下載器的功能，以此繞過應用商店的檢測。除此之外，APT應用會采取多種手段保證自身在目標設備中持續活躍。
適用對像
讀者需要具備一定程度的Java編程語言基礎和C/C 編程語言基礎。本書包含“攻”和“防”兩部分實戰內容，在安全攻防和軟件開發領域有不同的讀者定位。
在“安全攻防”領域，適合閱讀本書的讀者包括： 
 高校信息安全相關專業的學生； 
 軟件安全研究員； 
 軟件逆向工程師。
在“軟件開發”領域，適合閱讀本書的讀者包括： 
 高校信息安全相關專業的學生； 
 高校軟件工程相關專業的學生； 
 移動應用開發工程師。
學習建議
作為網絡空間安全領域的新形態教材，本書在內容規劃上充分考慮各技術點的“學習曲線”，通過更多承上啟下的內容設置，讓讀者可以學習到更多的前置知識，了解知識點之間的關聯，以便讀者構建全局的知識體繫，從而更深入地理解技術原理，更好地記憶和消化知識點。
以下建議供讀者參考。
1. 循序漸進、夯實基礎
移動安全涉及的技術面較廣，按操作繫統來劃分主要是Android和iOS。在攻防進階階段，核心的攻防技術都涉及底層原理，這需要讀者跟隨基礎篇和理論篇的內容順序，循序漸進地“喫透”每一個知識點，纔能在後面的實戰和案例中融會貫通。
2. 注重實踐、以練促學
攻防技術的核心在於實踐，讀者在實戰篇中不僅要跟隨書中內容去理解知識，還要在實驗環境中實踐，通過練習來鞏固學習成果。本書隨書資源提供了實戰篇中涉及的工具、樣本等文件，讀者可以下載到本地進行操作練習。
3. 案例分析、舉一反三
本書案例篇將移動安全攻防對抗中不同類型的案例深入地進行分析，幫助讀者將理論和實戰在案例分析中融合，以達到舉一反三的效果，幫助讀者盡快積累真實攻防對抗中的經驗。本書隨書資源還提供了案例篇中涉及的各個惡意程序的樣本文件，讀者可自行分析實踐。
配書資源
為方便讀者高效學習，快速掌握移動安全攻防理論與逆向分析的實踐，作者精心制作了學習資料（超過500頁）、完整的教學課件PPT（共15章超過400頁）、參考開源項目源代碼（超過70萬行），以及豐富的配套視頻教程（28課時）等資源，可掃描下方二維碼獲取。
對於本書存在的疏漏和錯誤之處，歡迎讀者反饋斧正，請關注微信公眾號“移動安全攻防”（微信號： mobsecx），依次選擇“更多”→“書籍勘誤”，提交您的寶貴意見。
特別致謝
感謝公安部全國網絡警察培訓基地、網絡安全110智庫、國家網絡空間安全人纔培養基地、中國網絡犯罪治理協會（籌）、中國下一代網絡安全聯盟、廣東省網絡安全應急響應中心對本書的大力支持，感謝本書所有業內推薦專家給予的專業修訂建議及贊譽。
感謝我的太太莊雪英老師，她在幕後默默付出，給予我始終如一的支持。感謝我的父親和母親，用愛和辛勞將我養育栽培，並始終認可我所熱愛的事業。
最後，謹以此書獻給所有奮鬥在中國網絡空間安全事業上的工程師們，讓我們一起為我國的網絡空間安全建設添磚加瓦！

葉紹琛於中國·深圳

網絡安全是不對等的博弈，在移動互聯時代我國手機上網比例超99%，因此研究移動安全是網絡安全的重要課題，其成果可緩解攻防博弈的不對等程度。本書通過體繫化的攻防理論和實戰化的案例講解，幫助讀者建立移動安全知識體繫，提高移動攻防實戰能力。

——陸以勤

教育廳學位中心專家、華南理工大學教授兼網信辦主任

所有流行操作繫統的健康發展，離不開軟件加解密等安全加固防護技術的重要應用，本書繫統性地論述了移動應用安全領域相關攻防技術的知識體繫，從技術進階提升的角度起到了承上啟下的作用，能為網絡安全從業者打開移動安全攻防方向的知識大門。

——王  琦

GeekPwn國際安全大賽發起人、DARKNAVY安全研究機構創始人

隨著移動互聯網的興起和高速成長，移動安全成為了攻防對抗的重點領域。尤其近兩年多個涉及數據和個人隱私的法規發布，移動安全的重要性凸顯。本書章節設計全面覆蓋了移動安全技術棧，知識點環環相扣，實操性強，值得廣大網絡安全從業者仔細研讀。

——呂一平

騰訊產業安全總經理、騰訊KEEN科恩實驗室負責人

隨著我國移動互聯網的蓬勃發展，移動應用的普及已經滲透到醫療、金融、政務等領域，移動應用是用戶數據交互的載體，移動應用安全問題關繫著用戶數據安全，本書繫統性地闡述了移動應用安全攻防的技術體繫，是理論與實踐相結合的優質技術專著。

——李世鋒

中國電子集團中電數據董事長兼黨委書記、清華大學博士

隨著移動互聯網的高速發展，基於移動端的黑灰產攻擊日趨泛濫，APT攻防對抗愈加升級，如何提升移動應用防護能力成為了產業剛需。本書從攻防實戰的角度進行梳理，深入淺出地講解了逆向技術和加固加殼技術，推薦一線的網絡犯罪治理人員仔細研讀。

——胡銘凱

數字取證專家、公安部全國網絡警察培訓基地專家導師