Android安全攻防實戰 pdf epub mobi txt 電子書 下載2025

想要找書就要到 小美書屋

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

Android是目前最為主流的移動設備操作係統，占據瞭全球近84%的市場份額。因此，Android係統中的安全問題也就變得十分重要。

本書通過大量極富針對性的實驗，通過對常見的安全場景中解決方案的講解，幫助讀者全麵掌握各種攻-防實用技能。因而，本書的實用性也很強，即使是一時不能完全理解其中的技術原理的新手，根據作者給齣的方法，也能解決實踐中遇到的大部分問題；而高手也能從中藉鑒到一些好的做法。

全書共分九章，涵蓋瞭基本的Android開發環境和工具；app組件之間及它們與係統的交互方式；Android安全評估框架“drozer”；app及Android原生代碼的逆嚮技巧；各類漏洞的利用及防護方式；使用SSL在網絡通信中進行更有效的驗證；利用第三方代碼庫或Android中新增的特性，通過加密和在開發時使用設備管理策略，加固app等內容。

《Android安全攻防實戰》寓教於練，可供安全技術研究人員，軟件開發人員，電子取證人員學習使用，對於各類高等院校中網絡安全相關專業的師生也有較高的參考價值。

Keith Makan

以前他是計算機科學和物理學專業的學生，現在是狂熱的業餘愛好者和安全研究員。他把絕大多數業餘時間都用在瞭閱讀源碼、逆嚮工程、fuzz測試和編寫Web應用技術中的相關漏洞的利用代碼上。

Keith工作起來就像是一個IT安全評估專傢一樣專業。他的個人研究已經使他多次入選“榖歌應用安全名人堂”（Google Application Security Hall of Fame）。他還編寫瞭榖歌Chrome的WebKitXSSAuditor，火狐瀏覽器的NoScript插件中漏洞的利用代碼。此外，他還數次報告瞭WordPress插件中的漏洞，並寫齣瞭相應的利用工具。

我要感謝我的媽媽、爸爸以及其他支持我瘋狂的想法，並總是給我極大鼓勵的傢人們。

Scott Alexander-Bown

他是一名在金融服務，軟件開發和移動app客戶端開發方麵有著豐富經驗的研發高手。他一直沉湎於Android之中，熱愛移動app安全。

Scott目前是一位高級開發人員，專長於移動app的開發、逆嚮工程以及app加固。他也熱衷於發錶與app安全相關的演講，活躍在多個國際移動app開發者大會上。

最重要的，我要感謝我的妻子Ruth，沒有你的愛和鼓勵，我將一事無成。我愛我們的兒子Jake，他的笑聲和可愛的笑臉是我前行的動力。

此外，我還要感謝以下諸公：

Keith, Barbara，Kirk Bown，Mhairi和Robert Alexander ，感謝你們給予我的愛和支持。

Andrew Hoog和viaForensics小組的成員，感謝你們在移動安全領域的支持、洞察力和經驗。

Mark Murphy, NikolayElenkov, Daniel Abraham, Eric Lafortune, RobertoTyley, YanickFratantonio, Moxie Marlinspike, the Guardian Project和the Android 安全團隊，你們博客中的文章、論文、演示和/或示例代碼對於學習Android安全是很有趣且非常有用的。

感謝Keith Makan的熱心和指導，在你的帶領下，我纔能完成本書的編寫。

感謝本書的各位技術審校對細節的關注和極具價值的反饋意見。最後，感謝您——親愛的讀者——我希望，您能從本書中獲益，並由此寫齣更安全的app。

審稿人簡介

Miguel Catalan Bañuls是一名年輕的工程師，他唯一的夢想是希望自己的努力能為世界的改變做齣貢獻。他是一名軟件開發人員，也是一名團隊的帶頭人。

他擁有工業工程學士學位，是Geeky Theory的閤夥人。他還是Miguel Hernandez大學（西班牙分校）的IEEE學生分會的副會長。

我想感謝我的妻子與父母，感謝他們對於我工作的理解與寬容。

Seyton Bradford是一名在移動設備安全和取證上有著超過10年經驗的軟件開發人員和工程師。

目前，他在viaForensics任高級軟件工程師，主攻app和移動設備的安全性。

他的作品在全球各地均有齣版，同時還是多部學術期刊的評審。

感謝我的傢人及朋友對我事業與工作的支持。

Nick Glynn目前受聘擔任技術培訓師和顧問，在英國和世界各地提供關於Android、Python和Linux的課程和專業知識。他在許多領域，無論是主闆啓動代碼、Linux驅動程序開發和係統開發，還是全棧部署、Web應用程序開發，以及Linux和Android平颱的安全強化，都擁有豐富的經驗。

我要感謝我傢人給我的愛，感謝我漂亮的寶貝女兒，是你照亮瞭我的生活。

RuiGonçalo就讀於葡萄牙布拉加的Minho大學，他現在正在完成Android安全領域的碩士論文。他正在開發一項新功能，旨在使用戶能以非常細的粒度，控製互聯網連接。他對移動安全的濃厚興趣源於大學裏“密碼學”和“信息係統安全”這兩門課程，在幾次有關的活動中他得到瞭這一領域裏葡萄牙最重要的公司的支持。他建議渴望成為安全領域專傢的Android安全初學者把這本書作為必讀書目。

我要感謝Packt齣版社負責此書的工作人員，是你們讓我完全相信，對移動安全的研究會占滿我對探索軟件世界的所有好奇心。

Elliot Long從小在矽榖長大，2005年起就編寫瞭多個移動app。他是移動旅遊綫路生成軟件mycitymate SL/GmbH的共同創始人。2009他加入瞭Intohand有限公司，負責Android和黑莓開發。

第1章 Android開發工具 1
1.1 簡介 1
1.2 安裝Android開發工具（ADT） 2
1.3 安裝Java開發包（JDK） 5
1.4 更新API資源 9
1.5 另一種安裝ADT的方法 11
1.6 安裝原生開發包（Native Development Kit，NDK） 15
1.7 虛擬Android設備 16
1.8 使用命令行創建Android虛擬設備（AVD） 19
1.9 使用Android調試橋（ADB）與AVD交互 21
1.10 從AVD上復製齣/復製入文件 22
1.11 通過ADB在AVD中安裝app 23
第2章實踐app安全 24
2.1 簡介 24
2.2 檢查app的證書和簽名 24
2.3 對Android app簽名 33
2.4 驗證app的簽名 37
2.5 探索AndroidManifest.xml文件 37
2.6 通過ADB與activity管理器交互 47
2.7 通過ADB提取app裏的資源 50
第3章 Android安全評估工具 56
3.1 簡介 56
3.2 製作Santoku啓動盤和安裝Santoku 58
3.3 安裝drozer 62
3.4 運行一個drozer會話 71
3.5 枚舉已安裝的包（package） 72
3.6 枚舉activity 78
3.7 枚舉content provider 80
3.8 枚舉service 83
3.9 枚舉broadcast receiver 85
3.10 確定app的受攻擊麵（attack surface） 87
3.11 運行activity 89
3.12 編寫drozer模塊——一個驅動枚舉模塊 91
3.13 編寫一個app證書枚舉器 94
第4章利用app中的漏洞 98
4.1 簡介 98
4.2 收集logcat泄露的信息 101
4.3 檢查網絡流量 106
4.4 通過activity manager被動嗅探intent 111
4.5 攻擊service 117
4.6 攻擊broadcast receiver 121
4.7 枚舉有漏洞的content provider 123
4.8 從有漏洞的content provider中提取數據 126
4.9 嚮content provider插入數據 129
4.10 枚舉有SQL-注入漏洞的content provider 131
4.11 利用可調試的app 134
4.12 對app做中間人攻擊 139
第5章保護app 146
5.1 簡介 146
5.2 保護app的組件 147
5.3 通過定製權限保護組件 149
5.4 保護content provider的路徑（path） 152
5.5 防禦SQL注入攻擊 155
5.6 驗證app的簽名（防篡改） 157
5.7 通過檢測安裝程序、模擬器、調試標誌位反逆嚮工程 161
5.8 用ProGuad刪除所有日誌消息 164
5.9 用GexGuard進行高級代碼混淆 168
第6章逆嚮app 173
6.1 簡介 173
6.2 把Java源碼編譯成DEX文件 175
6.3 解析DEX文件的格式 177
6.4 解釋Dalvik字節碼 194
6.5 把DEX反編譯迴Java 202
6.6 反編譯app的原生庫 205
6.7 使用GDB server調試Android進程 207
第7章網絡安全 211
7.1 簡介 211
7.2 驗證SSL自簽名證書 212
7.3 使用OnionKit庫中的StrongTrustManager 221
7.4 SSL pinning——限定受信SSL的範圍 223
第8章原生代碼中漏洞的利用與分析 231
8.1 簡介 231
8.2 檢查文件的權限 232
8.3 交叉編譯原生可執行程序 241
8.4 利用競爭條件引發的漏洞 249
8.5 棧溢齣漏洞的利用 254
8.6 自動fuzzing測試Android原生代碼 261
第9章加密與在開發時使用設備管理策略 274
9.1 簡介 274
9.2 使用加密庫 275
9.3 生成對稱加密密鑰 277
9.4 保護SharedPreferences數據 281
9.5 基於口令的加密 283
9.6 用SQLCipher加密數據庫 287
9.7 Android KeyStore provider 290
9.8 在開發時使用設備管理策略 293
· · · · · · (收起)