[正版新书] 移动安全攻防进阶——Android与iOS逆向理论与案例实战 叶绍琛、陈鑫杰、蔡国兆 清华大学出版社 安全

基于我国核心信息技术应用创新的大背景，《移动安全攻防进阶——Android与iOS逆向理论与案例实战》分4篇向读者呈现了移动安全攻防领域进阶阶段的逆向理论与实战案例，并配套有立体化资源，包括电子资料、教学课件、源代码与视频教程等。

《移动安全攻防进阶——Android与iOS逆向理论与案例实战》从Android虚拟机的技术原理开始，着重解析了Java层Dalvik虚拟机和ART虚拟机的Android系统中的运行机制，从而引出Native层的Native开发和ARM汇编语言等更底层的技术栈。在攻防全局观上主要介绍ATT&CK框架的技战术，将攻防过程中的技术点映射到矩阵中，ATT&CK框架中的移动安全攻防框架可以作为移动安全攻防的全局指导。通过对移动应用第一代加固壳到第三代加固壳的技术原理的剖析及技术实现的讲解，可以看到攻防对抗逐渐走向底层的原生层，通过学习基于OLLVM 的加固壳开发以及VMP加固壳的代码实现，全面掌握主流应用加固的技术方案。通过对真实世界实网攻防中遭遇的恶意程序、APT攻击样本等进行逆向分析，详细介绍其中的技术原理和代码实现，以帮助读者从一线攻防案例中获取攻防对抗经验。

《移动安全攻防进阶——Android与iOS逆向理论与案例实战》适合作为高等院校网络空间安全学科及相关专业中移动安全、软件逆向、代码安全等专业课程的教材，也可以作为网络安全研究员与移动应用开发者的自学参考书。

叶绍琛   网络安全技术专家，公安部全国网络警察培训基地特聘专家，网络安全110智库顾问，中国下一代网络安全联盟常务理事，红帽人才工程评审委员会评委，CTFWAR国际网络安全攻防对抗联赛发起人，网络安全期刊《网安观察》总顾问，曾获科技部和教育部联合颁发的教育信息化发明创新奖。

陈鑫杰   网络犯罪治理技术专家，国家网络空间安全人才培养基地特聘讲师，公安部全国网络警察培训基地专家导师，广东工业大学网络安全客座讲师，广东省网络安全应急响应中心技术顾问，中国网络安全行业门户“极牛网”总编辑，多地省市公安局网警技术顾问，多次协助侦查抓获大型涉网犯罪团伙。

蔡国兆   移动安全攻防技术专家，移动APT攻击及黑灰产App资深安全研究员，中国网络安全行业门户“极牛网”移动安全版块主编，华云信安技术总监，极牛攻防实验室负责人，曾发表多篇核心期刊学术论文及专利，主导人工智能LLM大模型威胁情报研判、人工智能恶意程序监测等前沿核心课题。

网络空间是继陆海空天后的第五主权空间，网络空间安全事关国家安全。近年来，随着《网络安全法》和网络安全等级保护标准的推进落实，我国网络空间安全产业逐渐发展成熟，广大高等院校也相继开设网络安全相关专业。鉴于软件逆向工程方向技术原理复杂、实战难度大，为满足广大读者对于移动安全的学习需求，作者充分结合理论技术和攻防实战，编著此书。

《移动安全攻防进阶——Android与iOS逆向理论与案例实战》根据移动安全攻防的技术栈脉络，从移动操作系统内核及移动应用开发技术，到移动应用安全测试及逆向分析的实战，帮助读者形成关于移动安全攻防系统全面的知识体系。

《移动安全攻防进阶——Android与iOS逆向理论与案例实战》呈现了以下移动安全攻防的理论、技术与应用：

�8�5 Android ART虚拟机原理

�8�5 Native层及ARM汇编开发

�8�5 ATT&CK for mobile框架

�8�5 LLVM编译框架

�8�5 整体加固代码实现

�8�5 指令抽取加固代码实现

�8�5 so文件加固技术原理

�8�5 OLLVM加固壳开发

�8�5 VMP加固原理和技术

目录

基础篇

第1章Android虚拟机

1.1Dalvik虚拟机

1.1.1DVM的特点

1.1.2DVM虚拟机启动流程

1.1.3DVM虚拟机运行过程

1.2odex文件

1.3ART虚拟机

1.3.1ART虚拟机的创建

1.3.2ART虚拟机的启动

1.4dex2oat

1.4.1概述

1.4.2Oat文件格式介绍

1.4.3ART文件介绍

1.4.4Oat与ART文件关系

1.5ART虚拟机类的链接与初始化

1.6本章小结

第2章Native层

2.1Native开发

2.1.1JNI介绍

2.1.2JNI数据类型转换

2.1.3Native调用Java代码

2.2ARM汇编

2.2.1ARM汇编介绍

2.2.2ARM汇编数据类型

2.2.3ARM寄存器

2.2.4ARM模式与Thumb模式

2.2.5ARM指令

2.3Native Hook

2.3.1Got/Plt Hook

2.3.2inline Hook

2.4本章小结

第3章iOS基础知识

3.1iOS包结构分析

3.1.1_CodeSignature文件夹

3.1.2lproj文件夹

3.1.3xcent文件

3.1.4mobileprovision文件

3.1.5info.plist文件

3.2iOS应用启动过程分析

3.3本章小结

理论篇

第4章ATT&CK框架

4.1ATT&CK框架背景介绍

4.2ATT＆CK框架的使用

4.3本章小结

第5章ATT&CK for mobile框架

5.1初始访问技术

5.2执行战术

5.3持久化战术

5.4权限提升战术

5.5防御规避

5.6凭证访问战术

5.7发现战术

5.8横向移动战术

5.9收集战术

5.10命令控制战术

5.11渗滤技术

5.12冲击战术

5.13本章小结

第6章LLVM编译框架

6.1LLVM概论

6.1.1LLVM介绍

6.1.2LLVM功能

6.1.3LLVM的主要子项目

6.1.4LLVM周边项目

6.1.5LLVM目录结构

6.2LLVM安装与编译

6.2.1LLVM的下载与安装

6.2.2LLVM的编译

6.2.3LLVM的使用

6.2.4编写LLVM Pass

6.3IR入门

6.4本章小结

实战篇

第7章整体加固实战

7.1第一代加固技术简介

7.1.1早期静态壳

7.1.2后期动态加载壳

7.2APK包的结构

7.2.1APK打包过程

7.2.2软件安装过程

7.2.3软件启动流程

7.2.4AndroidManifest.xml

7.2.5resource.arsc

7.3原理介绍

7.4加固流程

7.5代码实现

7.6本章小结

第8章指令抽取加固实战

8.1第二代加固技术简介

8.2Dex文件结构

8.3指令抽取恢复介绍

8.4加固流程

8.5代码实现

8.6本章小结

第9章so文件加固

9.1第三代加固技术

9.1.1Dex2C

9.1.2VMP

9.2upx

9.3so文件格式

9.3.132位Elf文件解析

9.3.264位Elf文件解析

9.4upx的编译

9.5本章小结

第10章基于OLLVM的加固壳开发

10.1OLLVM基础

10.2OLLVM编译与使用

10.3OLLVM壳原理

10.3.1指令替换混淆源码分析

10.3.2控制流平展混淆源码分析

10.3.3伪造控制流混淆源码分析

10.4本章小结

第11章VMP加固技术

11.1VMP加固原理

11.2Dex VMP

11.2.1Dex VMP介绍

11.2.2Dvm虚拟机的解释流程

11.2.3Advmp功能与源码解析

11.3ARM VMP

11.3.1ARM VMP介绍

11.3.2编写ARM VMP解释器

11.3.3ARM VMP的加固流程

11.4本章小结

第12章iOS逆向工具的使用

12.1砸壳工具

12.1.1Clutch

12.1.2CrackerXI

12.2Classdump工具

12.3Tweaks工具

12.3.1Theos的前置环境

12.3.2安装Theos

12.3.3编写Tweaks程序

12.3.4Tweaks程序的编译与安装

12.4Cycript工具

12.4.1Cycript的安装使用

12.4.2使用Cycript分析应用

12.4.3Cycript脚本

12.5本章小结

第13章进阶逆向技巧

13.1使用Frida绕过SSLPinning

13.1.1HTTPS协议简介

13.1.2SSLPinning技术

13.1.3绕过证书绑定

13.1.4使用SSLContext导入自定义证书

13.2终极抓包脚本

13.2.1抓包的攻防

13.2.2r0capture抓包原理

13.2.3r0capture抓包实践

13.3Frida追踪函数调用

13.3.1Frida Trace脚本解析

13.3.2Frida Trace脚本使用

13.4本章小结

案例篇

第14章Android恶意软件分析

14.1远程操控手机App分析

14.1.1配置MSF框架

14.1.2生成Android payload

14.1.3逆向分析木马

14.2分析锁机勒索软件样本

14.2.1勒索软件的初步分析

14.2.2分析危险行为

14.2.3分析软件释放出来的应用

14.2.4锁机软件的解除

14.3可自我扩散的手机短信蠕虫分析

14.3.1蠕虫病毒分析

14.3.2分析木马的本体

14.3.3分析结果

14.4本章小结

第15章APT攻击案例分析

15.1APT简介

15.2KONNI远控木马病毒

15.2.1KONNI恶意行为分析

15.2.2KONNI源码逆向分析

15.2.3远程控制机制解析

15.3GravityRAT间谍软件

15.3.1GravityRAT恶意行为分析

15.3.2GravityRAT源码逆向分析

15.4Anubis木马

15.4.1Anubis木马的功能与发展

15.4.2Anubis样本行为逆向分析

15.5本章小结

参考文献