午夜色播在线观看,日本无码在线看片,国产一级无码不卡视频

本書覆蓋Android和iOS兩大主流系統(tǒng)，從零開始，帶領(lǐng)讀者全面掌握App安全的知識與技能。全書共分為十章，主要包括以下4個(gè)方面：
1.詳細(xì)介紹App的運(yùn)行機(jī)制、分析工具和匯編語言等基礎(chǔ)知識。幫助讀者掌握必要的技術(shù)原理和分析技能。
2.主要講解App的常見攻擊方式，以及安全加固和通信安全等傳統(tǒng)的信息安全理念。為開發(fā)者提供有效的防御攻擊的方法，構(gòu)建更加安全的移動(dòng)應(yīng)用。
3.重點(diǎn)關(guān)注業(yè)務(wù)防控，包括設(shè)備指紋、設(shè)備環(huán)境檢測和用戶異常行為的識別等。幫助開發(fā)者識別并應(yīng)對各種潛在的安全威脅。
4.針對日益嚴(yán)格的App監(jiān)管環(huán)境，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》及相關(guān)標(biāo)準(zhǔn)，結(jié)合實(shí)操，探討如何實(shí)現(xiàn)App合規(guī)。
總之，通過學(xué)習(xí)本書，讀者不僅能夠深入了解App安全的基礎(chǔ)知識與高級技術(shù)，還能獲得豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)和實(shí)用的防護(hù)策略。

前　　言
智能移動(dòng)設(shè)備重塑了人們的生活模式。從手機(jī)到平板電腦，這些設(shè)備已經(jīng)成為日常必需品，并使得越來越多的互聯(lián)網(wǎng)服務(wù)以應(yīng)用程序（App）的形式進(jìn)入人們的工作與生活。然而，它們帶來極大便利的同時(shí)，也帶來了眾多的問題與風(fēng)險(xiǎn)。
頻繁的信息泄露事件使網(wǎng)絡(luò)用戶的隱私安全岌岌可危，而不斷肆虐的黑灰產(chǎn)活動(dòng)，如通過水軍羊毛黨等形式進(jìn)行的惡意行為，使企業(yè)的運(yùn)營成本不斷增加，甚至可能引發(fā)嚴(yán)重的社會負(fù)面影響。這些情況促使政府及企業(yè)高度重視與之相關(guān)的安全治理和防控工作。
一方面，政府密集發(fā)布一系列法律法規(guī)及標(biāo)準(zhǔn)，如《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等，對相關(guān)違規(guī)行為進(jìn)行公開通報(bào)并實(shí)施懲戒。另一方面，大部分通過App提供服務(wù)的企業(yè)都設(shè)立了負(fù)責(zé)App安全的專職崗位，如移動(dòng)安全工程師，主要負(fù)責(zé)安全測試和加固等工作。根據(jù)不同企業(yè)的實(shí)際情況，這類崗位還需要為風(fēng)控、合規(guī)和法務(wù)等部門提供解決方案或技術(shù)支持。
對于移動(dòng)安全工程師的要求，也隨著大環(huán)境的日益嚴(yán)峻和快速發(fā)展變得更加多元化。他們可能需要深入挖掘App里的安全漏洞以避免其被惡意利用，采用合理有效的加固措施對抗非法逆向分析或破解操作，準(zhǔn)確識別客戶端運(yùn)行環(huán)境的安全狀態(tài)以輔助業(yè)務(wù)風(fēng)控或內(nèi)容安全處置，以及協(xié)助法務(wù)或政府關(guān)系等部門排查不符合監(jiān)管法規(guī)的App功能并提供整改建議，等等。由此可見，除了在細(xì)分程度較高、提供專精崗位的少數(shù)企業(yè)中，移動(dòng)安全工程師在大多數(shù)情況下是一個(gè)多領(lǐng)域技能交叉的復(fù)合型崗位。
經(jīng)驗(yàn)表明，優(yōu)秀的移動(dòng)安全工程師的招聘工作比其他安全崗位的招聘工作難度更大。這絕對不僅是因?yàn)锳pp出現(xiàn)的時(shí)間晚于Web數(shù)十年，或者因?yàn)橐苿?dòng)安全包含對匯編等技術(shù)的要求導(dǎo)致門檻更高，還因?yàn)橐苿?dòng)安全在過去經(jīng)常被簡單地看作單一領(lǐng)域技術(shù)，企業(yè)及部門往往忽略了它與業(yè)務(wù)風(fēng)控和合規(guī)等領(lǐng)域之間天然的融合關(guān)系。
為了使讀者對移動(dòng)安全建立更清晰、更完整的認(rèn)知，從而在技術(shù)及職業(yè)上不斷精進(jìn)，我編寫了本書。這是一本復(fù)合型的移動(dòng)安全教程，包含基礎(chǔ)知識、安全攻防、業(yè)務(wù)風(fēng)控以及隱私合規(guī)等移動(dòng)安全工程師必知必會的內(nèi)容。
請注意，本書在講解攻防原理的過程中會涉及越獄、砸殼及一些常見的攻擊手段，均是為了實(shí)現(xiàn)更全面、更穩(wěn)固的防御機(jī)制，僅限于學(xué)習(xí)交流，不支持非法用途。
讀者對象
本書適合移動(dòng)安全、風(fēng)控安全、隱私合規(guī)等領(lǐng)域的從業(yè)者閱讀，也適合對安全領(lǐng)域感興趣的讀者學(xué)習(xí)。無論是初學(xué)者還是有一定經(jīng)驗(yàn)的從業(yè)者，都能從中找到合適的內(nèi)容。讀者通過本書，能夠建立起對移動(dòng)安全問題的全面認(rèn)識，掌握相關(guān)的技術(shù)和應(yīng)對策略，從而更好地為安全行業(yè)的健康發(fā)展貢獻(xiàn)力量。
在寫作本書的過程中，我力求內(nèi)容豐富、結(jié)構(gòu)清晰、表達(dá)準(zhǔn)確。一方面，本書采用了通俗易懂的語句和生動(dòng)的實(shí)例，幫助讀者更好地理解和掌握知識。另一方面，本書注重實(shí)踐性和可操作性，為讀者提供了實(shí)用的實(shí)例代碼和工具使用技巧。
如何閱讀本書
在閱讀本書時(shí)，建議讀者按照章節(jié)順序逐步深入，從基礎(chǔ)知識開始，逐漸掌握安全攻防、業(yè)務(wù)風(fēng)控及隱私合規(guī)等方面的知識。另外，讀者在閱讀本書的過程中可以結(jié)合自己的工作實(shí)踐，思考如何將這些知識應(yīng)用到實(shí)際工作中。
勘誤和支持
由于時(shí)間和精力的限制，書中難免存在一些不足之處。如果讀者在閱讀過程中發(fā)現(xiàn)任何錯(cuò)誤或需要進(jìn)一步的解釋，可直接將其提交到https://github.com/aylhex/book-code/issues。我將盡力提供勘誤和支持，確保讀者能夠獲得最準(zhǔn)確、最全面的信息。
本書中的實(shí)例代碼全部托管在GitHub上，讀者可以從https://github.com/aylhex/book-code/下載。
致謝
首先，向我的父母表達(dá)深深的謝意。他們不僅賦予我生命，更用無盡的耐心和關(guān)愛來悉心培育我。在我人生的每一個(gè)階段，他們都給予我最堅(jiān)定的支持和最溫暖的陪伴。正是因?yàn)樗麄兊臒o私奉獻(xiàn)，我才有能力和勇氣完成這本書。
同時(shí)，對我的妻子表達(dá)衷心的感謝。她對我的理解和支持，是我堅(jiān)持下去的動(dòng)力源泉。我經(jīng)常忙于寫作而無法陪伴她，她卻從未有過半句怨言。她讓我在寫作的道路上更加堅(jiān)定、更加從容。
最后，由衷感謝所有讀者的支持和關(guān)注。

安亞龍

目　　錄
前　言
第1章　移動(dòng)應(yīng)用安全基礎(chǔ)　1
1.1　移動(dòng)應(yīng)用的簽名　1
1.1.1　Android簽名機(jī)制和原理　1
1.1.2　iOS簽名機(jī)制和原理　7
1.2　移動(dòng)應(yīng)用的安裝　11
1.2.1　Android應(yīng)用安裝　11
1.2.2　iOS應(yīng)用安裝　13
1.3　移動(dòng)應(yīng)用的權(quán)限　14
1.3.1　Android應(yīng)用的權(quán)限　14
1.3.2　iOS應(yīng)用的權(quán)限　16
1.4　移動(dòng)應(yīng)用的運(yùn)行　17
1.4.1　Android應(yīng)用的運(yùn)行　17
1.4.2　iOS應(yīng)用的運(yùn)行　20
第2章　應(yīng)用分析基礎(chǔ)　23
2.1　常用工具　23
2.1.1　越獄版商店Cydia　23
2.1.2　Root工具M(jìn)agisk　25
2.1.3　Hook框架EdXposed　27
2.1.4　Hook框架Frida　35
2.1.5　Hook工具Objection　40
2.1.6　Hook工具Tweak　43
2.1.7　安全測試工具Drozer　47
2.2　常用命令行工具　49
2.2.1　ADB　49
2.2.2　readelf　53
2.2.3　Apktool　55
2.2.4　Clutch　55
2.2.5　Class-dump　57
2.3　Android應(yīng)用分析　58
2.4　iOS應(yīng)用分析　62
第3章　匯編基礎(chǔ)　65
3.1　Smali匯編基礎(chǔ)　65
3.1.1　基本類型　65
3.1.2　寄存器　66
3.1.3　基礎(chǔ)指令　67
3.1.4　語法修飾符　70
3.1.5　函數(shù)調(diào)用　72
3.1.6　函數(shù)返回值　74
3.2　ARM匯編基礎(chǔ)　75
3.2.1　寄存器　75
3.2.2　基礎(chǔ)指令　78
3.2.3　函數(shù)調(diào)用　81
3.2.4　ARM64位匯編　84
第4章　常見的攻擊方式　86
4.1　重簽名攻擊　86
4.1.1　Android應(yīng)用重簽名　86
4.1.2　iOS應(yīng)用重簽名　90
4.2　動(dòng)態(tài)注入與Hook操作　92
4.2.1　Android動(dòng)態(tài)注入　93
4.2.2　iOS動(dòng)態(tài)注入　94
4.2.3　Android Hook攻擊　97
4.2.4　iOS Hook攻擊　100
4.3　動(dòng)態(tài)調(diào)試　105
4.3.1　Android動(dòng)態(tài)調(diào)試　105
4.3.2　iOS動(dòng)態(tài)調(diào)試　111
4.4　Scheme攻擊　114
4.5　WebView攻擊　116
第5章　客戶端安全加固　120
5.1　Java/Kotlin代碼保護(hù)　120
5.2　C/C 代碼保護(hù)　122
5.2.1　代碼混淆保護(hù)　122
5.2.2　文件加殼保護(hù)　125
5.3　簽名校驗(yàn)　126
5.3.1　Android簽名校驗(yàn)　126
5.3.2　iOS簽名校驗(yàn)　128
5.4　SO文件保護(hù)　129
5.5　應(yīng)用防調(diào)試　132
5.5.1　Android應(yīng)用防調(diào)試　132
5.5.2　iOS應(yīng)用防調(diào)試　134
5.6　完整性校驗(yàn)　137
5.6.1　Android應(yīng)用完整性校驗(yàn)　137
5.6.2　iOS應(yīng)用完整性校驗(yàn)　138
5.7　防動(dòng)態(tài)注入與防Hook　138
5.7.1　Android應(yīng)用防動(dòng)態(tài)注入與防Hook　139
5.7.2　iOS應(yīng)用防動(dòng)態(tài)注入與防Hook　140
5.8　Scheme防護(hù)　142
5.9　WebView防護(hù)　143
第6章　網(wǎng)絡(luò)通信安全　145
6.1　通信防抓包　145
6.1.1　代理檢測　145
6.1.2　代理對抗　146
6.1.3　證書校驗(yàn)　146
6.2　數(shù)據(jù)防篡改　150
6.2.1　請求參數(shù)防篡改　150
6.2.2　請求數(shù)據(jù)防重放　151
6.3　通信數(shù)據(jù)加密　152
第7章　設(shè)備指紋　158
7.1　設(shè)備指紋系統(tǒng)　158
7.2　設(shè)備數(shù)據(jù)采集　159
7.3　設(shè)備指紋生成　164
7.4　設(shè)備指紋隱藏　165
7.5　設(shè)備指紋應(yīng)用　166
第8章　風(fēng)險(xiǎn)環(huán)境檢測　169
8.1　模擬器檢測　169
8.2　設(shè)備Root/越獄檢測　171
8.2.1　Android Root檢測　172
8.2.2　iOS越獄檢測　174
8.3　函數(shù)Hook檢測　175
8.3.1　Java Hook檢測　175
8.3.2　GOT Hook檢測　177
8.3.3　Inline Hook檢測　180
8.3.4　Swizzle Hook檢測　183
8.3.5　Fishhook檢測　185
8.3.6　Substrate Hook檢測　186
8.4　設(shè)備狀態(tài)檢測　187
8.4.1　調(diào)試狀態(tài)檢測　187
8.4.2　VPN狀態(tài)檢測　　188
8.4.3　代理狀態(tài)檢測　189
8.4.4　USB調(diào)試狀態(tài)檢測　190
8.4.5　充電狀態(tài)檢測　191
第9章　異常用戶識別　192
9.1　位置篡改識別　192
9.2　設(shè)備篡改識別　193
9.3　注冊異常識別　194
9.4　登錄異常識別　197
9.5　協(xié)議破解識別　198
9.6　批量控制識別　199
第10章　隱私合規(guī)　202
10.1　應(yīng)用上架合規(guī)　202
10.1.1　軟件著作權(quán)申請　202
10.1.2　ICP備案/ICP許可證　204
10.1.3　App備案　206
10.1.4　安全評估　208
10.1.5　CCRC認(rèn)證　211
10.1.6　算法備案　217
10.2　合規(guī)實(shí)踐指南　217
10.2.1　隱私政策　217
10.2.2　權(quán)限申請　220
10.2.3　個(gè)人信息收集　221
10.2.4　雙清單與權(quán)限說明　223
10.2.5　個(gè)性化推薦與定向推送　226
10.2.6　自啟動(dòng)與關(guān)聯(lián)啟動(dòng)　227
10.2.7　廣告展示　229
10.3　違規(guī)整改規(guī)范　231
10.3.1　工信部　231
10.3.2　省通信管理局　233
10.3.3　網(wǎng)信辦　236
10.3.4　　238

你還可能感興趣

我要評論