清华大学出版社《移动安全—逆向攻防实践》网络安全教材

《移动安全—逆向攻防实践》网络安全教材（ISBN：978-7-302-69051-1）由清华大学出版社出版，中国国家版本馆CIP数据核字第2025LV2418号，作者为叶绍琛、蔡国兆、陈鑫杰。

叶绍琛：网络安全专家，公安部全国网警培训基地特聘专家，网络安全110智库顾问，NgSecGPT开源网络安全大模型核心开发者，中国下一代网络安全联盟AI安全专委会理事，CTFWAR国际网络安全攻防对抗联赛裁判长，网络安全期刊《网安观察》总顾问，曾获国家科技部和教育部联合颁发的教育信息化发明创新奖。

蔡国兆：移动安全技术专家，蓝典信安AI实验室负责人，蓝典信安研发总监，移动APT攻击及黑灰产APP资深安全研究员，NgSecGPT开源网络安全大模型核心开发者，曾发表多篇核心期刊学术论文及专利，主导人工智能LLM大模型应用防火墙、LLM驱动威胁情报研判、基于LLM的恶意程序监测等前沿核心课题。

陈鑫杰：网络安全开源情报专家，国家网络空间安全人才培养基地特聘讲师，公安部全国网络警察培训基地专家导师，广东工业大学网络安全客座讲师，广东省网络与信息安全通报中心专家，中国网络安全行业门户“极牛网”总编辑，多地省市公安局网警技术顾问，多次协助侦察抓获大型涉网犯罪团伙。

前  言

在数字化浪潮之中，移动互联网的应用场景及应用深度将进一步提升，移动应用已经完全地渗透到人们的工作和生活中。随着移动终端的发展，移动应用所隐含的安全问题逐渐浮出水面并越发深远地影响着人们的切身利益。

据统计，全球每年至少新增150万种移动端恶意软件，至少造成了超1600 万件的移动恶意攻击事件。近年来，工信部针对移动应用长期存在的违规收集用户个人信息、违规获取终端权限、隐私政策不完整等行为进行了多次综合整治行动，国家等级保护2.0标准也增加了移动安全拓展标准，移动安全将会成为未来我国网络安全人才培养的一个核心内容板块。

本书以移动安全攻防实战技战术为基础，以实战化案例为依托，将移动安全攻防实战进行体系化的知识体系输出，深入地为读者展现移动安全领域中实网攻防的技战术及案例剖析，通过书中的理论阐述、体系构筑以及实践沉淀，体系化展现移动安全攻防领域的魅力。

本书内容及结构

本书分为4篇，共16章。

基础篇

基础篇包括第1~3章，目的是让读者快速建立对Android应用安全分析的基本概念。第1章介绍了构建Android应用安全分析环境的一些基本方法与工具。通过第1章的学习，能够掌握NDK工具链、Android手机刷机、系统Root等移动安全分析中的环境构建技术。

第2章通过对一个Android应用Apk文件的反编译破解，修改Smali代码文件后再重编译并签名的过程，帮助读者直观地了解Android应用逆向及二次打包的全过程，从而对移动应用逆向工程有个整体概念。

第3章介绍了iOS应用包的结构以及应用启动的流程，由于iOS系统的封闭性，大部分逆向人员很难接触到iOS系统的底层，因此大部分的攻防还是集中在应用的层面上，读者通过该章的学习能够更好地了解iOS应用。

理论篇

理论篇包括第4~6章，目的是通过介绍移动应用安全基线及移动安全测试框架，帮助读者对移动安全攻防建立起理论基础，对移动应用安全分析形成知识体系框架。

第4章主要介绍移动应用安全基线，包括应用的评估思路，Android系统的安全问题与常见漏洞。读者通过本章的学习，既可以掌握Android应用逆向分析的常见切入点，也可以从中得到警示，在开发移动应用的时候规避这些安全问题。

第5章主要介绍在AI大模型时代移动安全攻防的新趋势和新挑战。以当今前沿攻防案例的解析，介绍了通过生成式人工智能用于短信钓鱼、利用大模型对移动应用进行代码审计、以及移动设备端侧搭载大模型面临的风险等。

第6章主要对MobSF移动应用安全测试框架进行分析。该框架是面向移动应用静态逆向和动态调试的自动化分析调试框架，通过对该框架的拆解，使读者全面了解Android应用逆向分析全过程中的关注点，掌握在逆向一个具有多个功能模块的复杂应用时应该注应用的哪些行为容易导致应用遭到恶意攻击，哪些代码实现使用了不安全的API，进而造成数据的泄露或者文件被篡改等。通过对MobSF框架的二次开发改造，可以帮助我们快对上万行代码的App进行安全概况排查，以便后续有的放矢地进行深度分析。

工具篇

工具篇包括第7~11章。俗话说:“工欲善其事，必先利其器”。工具虽然不是解决问题的唯一决定因素，但是一个合适的工具往往能达到事半功倍的效果。

第7章介绍静态逆向所使用的工具。静态逆向是最简单、最直接的逆向方式，主要的目的是将Apk软件包进行解包，将包内的文件逐一进行解码，最关键的是将保存着代码的进制文件反编译成我们能直接阅读的源代码形式。

第8章介绍动态调试所使用的工具。这些工具和开发环境中的断点调试功能类似，可以让我们看到程序运行过程中的各种变化，只不过在开发环境中我们面对的是自己编写的源代码，逆向时我们面对的是反编译的伪源代码，甚至是汇编代码。

第9章主要介绍两种最常见的Hook工具。Hook是一种可以在不直接修改程序源代码的前提下改变程序运行逻辑的手段，能够避免为了动态调试而将Apk拆得七零八落又费尽心思组装回去的复杂操作，提高动态调试的效率。

第10章介绍针对Native层的C++代码的调试手段。UnicornEngine是一个神奇的I具，它可以模拟各种CPU平台、内存与堆栈。逆向工程师不需要运行整个App，使用Unicorn就可以单独运行调试so文件的一部分汇编代码，而且可以随意设置寄存器与堆栈的值。

第11章介绍了几种针对iOS应用的逆向工具，基本上覆盖了iOS应用分析的流程当逆向人员获取i〇S应用包时，通过Cycript工具获取应用的Controller信息，使用砸壳工具去除应用的加固，使用classdump提取头文件代码，最后利用头文件的函数定义编写Hook程序对应用进行动态调试。

实战篇

实战篇包括第12~16章，是整书的重点内容。读者在这部分将运用前面理论篇与工具篇的知识点进行实操，在操作的过程中加深对移动应用逆向分析与安全开发的理解。

第12章的主要内容是脱壳实战。本章也是移动应用逆向攻防色彩最重的一章。我们在进行Android应用逆向分析的时候通常通过反编译的手段来获取代码逻辑，从代码逻辑中找到程序的漏洞或者恶意行为，而Android应用加固会将App的代码逻辑隐藏起来，虽然加固手段本身是一种安全性保护，但是这种保护是不会分辨应用本身是否存在恶意行为的因此，如果需要通过逆向分析判断应用是否是木马，就需要对加固壳进行破解。本章针对两种Java代码加固方案以及C++混淆方案探讨对抗破解的方法。

第13章的主要内容是逆向实战，介绍了针对Android应用中Java层与Native层的逆向手段，包括逆向分析Smali代码并进行篡改重编译、逆向分析so文件等。本章结合两个经典的CTF比赛题目进行实战讲解。

第14章的主要内容是Hook实战，介绍了在不改变Android应用程序代码的情况下修改程序逻辑，使用工具篇介绍的两种主流Hook框架—Xposed框架和Frida框架进行具体的攻防实战。本章结合一个经典的CTF比赛题目进行分析讲解。

第15章的主要内容是调试实战，本章将使用网络上已发布且功能复杂的App作为例子，使用静态逆向和动态调试两种方式分析该App的具体业务逻辑。同时也会在本章介绍使用一个基于，Unicorn的代码调试工具Unidbg，通过该工具来对Native层逻辑进行逆向调试实战。

第16章的主要内容是I0T（物联网）安全分析实战。当前大量的物联网设备采用Android操作系统，本章通过对物联网移动应用进行逆向调试分析实战，介绍如何使用抓包的方式截取应用的互联网请求。读者在本章中将了解到物联网应用安全的重要性。

适用对象

读者需要具备一定程度的Java编程语言基础和C++开发基础，由于本书包含“攻”和“防”两部分实战内容，则在安全攻防和软件开发领域有不同的读者定位。

在“安全攻防”领域，适合阅读本书的读者包括：

* 高校信息安全相关专业的学生；

* 软件安全研究员；

* 软件逆向工程师。

在“软件开发”领域，适合阅读本书的读者包括：

* 高校信息安全相关专业的学生；

* 高校软件工程相关专业的学生；

* 移动应用开发工程师。

学习建议

本书作为网络空间安全新形态教材，在内容规划上充分考虑到各个技术点的“学习曲线”，通过更多承上启下的内容设置，让高校学生可以学习到更多的前置知识以及知识点之间的关联，帮助学生构建全局的知识体系，以帮助更深入地理解技术原理，从而更好地消化和记忆知识点。

以本书为移动安全学习的蓝图，有如下学习建议：

一、循序渐进、夯实基础

移动安全涉及的技术面较广，以操作系统来划分主要是Android和iOS，在攻防进阶阶段，核心的攻防技术都涉及到底层的原理，这需要读者跟随基础篇和理论篇的内容顺序，循序渐进吃透每一个知识点，把基础知识和理论知识打牢，在后面的实战和案例中才能融会贯通。

二、注重实践、以练促学

攻防技术的核心在于实践，在实战篇中不仅要跟随书中内容去理解知识，还要在实验环境中去实践，通过练习来巩固学习成果。在本书的随书资源中，提供了实战篇中涉及的工具、样本等文件，读者可以下载到本地进行操作练习。

三、案例分析、举一反三

本书案例篇中，将移动安全攻防对抗中不同类型的案例进行深入地分析，帮助读者将理论和实战在案例分析中融合，以达到举一反三的效果，帮助读者尽快积累真实攻防对抗中的经验。在本书的随书资源中，提供了案例篇中涉及的各个恶意程序的样本文件，读者可根据书中内容自行分析实践。

配书资源

为方便读者高效学习，快速掌握移动安全攻防理论与逆向分析的实践，作者精心制作了学习资料（超过500页）、完整的教学课件PPT（共16章超过 400页）、参考开源项目源代（超过70万行），以及丰富的配套视频教程（27课时）等资源，可访问清华大学出版社官网下载。

对于本书存在的疏漏和错误之处，欢迎读者反馈斧正，请关注微信公众号“移动安全攻防”（微信号：mobsecx），依次选择“更多”-“书籍勘误”,提交您的宝贵意见。

特别致谢

感谢公安部全国网络警察培训基地、网络安全110智库、国家网络空间安全人才培养基地、中国网络犯罪治理协会(筹)、中国下一代网络安全联盟、广东省信息与网络安全通报中心对本书的大力支持，感谢本书所有业内推荐专家给予的专业修订建议及赞誉。

感谢我的太太庄雪英老师，给予我始终如一的支持，在幕后默默付出。感谢我的父亲和母亲，用爱和辛劳将我养育栽培，并始终认可我所热爱的事业。

最后，谨以此书献给所有奋斗在中国网络空间安全事业上的工程师们，让我们一起为我国的网络空间安全建设添砖加瓦！

叶绍琛

于 中国·深圳