移動安全攻防進階 — Android 與 iOS 逆向理論與案例實戰

基於我國核心信息技術應用創新的大背景，《移動安全攻防進階——Android與iOS逆向理論與案例實戰》分4篇向讀者呈現了移動安全攻防領域進階階段的逆向理論與實戰案例，並配套有立體化資源，包括電子資料、教學課件、源代碼與視頻教程等。 《移動安全攻防進階——Android與iOS逆向理論與案例實戰》從Android虛擬機的技術原理開始，著重解析了Java層Dalvik虛擬機和ART虛擬機的Android系統中的運行機制，從而引出Native層的Native開發和ARM匯編語言等更底層的技術棧。在攻防全局觀上主要介紹ATT&CK框架的技戰術，將攻防過程中的技術點映射到矩陣中，ATT&CK框架中的移動安全攻防框架可以作為移動安全攻防的全局指導。通過對移動應用第一代加固殼到第三代加固殼的技術原理的剖析及技術實現的講解，可以看到攻防對抗逐漸走向底層的原生層，通過學習基於OLLVM 的加固殼開發以及VMP加固殼的代碼實現，全面掌握主流應用加固的技術方案。通過對真實世界實網攻防中遭遇的惡意程序、APT攻擊樣本等進行逆向分析，詳細介紹其中的技術原理和代碼實現，以幫助讀者從一線攻防案例中獲取攻防對抗經驗。 《移動安全攻防進階——Android與iOS逆向理論與案例實戰》適合作為高等院校網絡空間安全學科及相關專業中移動安全、軟件逆向、代碼安全等專業課程的教材，也可以作為網絡安全研究員與移動應用開發者的自學參考書。

目錄

 

 

 

基礎篇

 

第1章Android虛擬機

 

1.1Dalvik虛擬機

 

1.1.1DVM的特點

 

1.1.2DVM虛擬機啟動流程

 

1.1.3DVM虛擬機運行過程

 

1.2odex文件

 

1.3ART虛擬機

 

1.3.1ART虛擬機的創建

 

1.3.2ART虛擬機的啟動

 

1.4dex2oat

 

1.4.1概述

 

1.4.2Oat文件格式介紹

 

1.4.3ART文件介紹

 

1.4.4Oat與ART文件關系

 

1.5ART虛擬機類的鏈接與初始化

 

1.6本章小結

 

第2章Native層

 

2.1Native開發

 

2.1.1JNI介紹

 

2.1.2JNI數據類型轉換

 

2.1.3Native調用Java代碼

 

2.2ARM匯編

 

2.2.1ARM匯編介紹

 

2.2.2ARM匯編數據類型

 

2.2.3ARM寄存器

 

2.2.4ARM模式與Thumb模式

 

2.2.5ARM指令

 

2.3Native Hook

 

2.3.1Got/Plt Hook

 

2.3.2inline Hook

 

2.4本章小結

 

 

第3章iOS基礎知識

 

3.1iOS包結構分析

 

3.1.1_CodeSignature文件夾

 

3.1.2lproj文件夾

 

3.1.3xcent文件

 

3.1.4mobileprovision文件

 

3.1.5info.plist文件

 

3.2iOS應用啟動過程分析

 

3.3本章小結

 

理論篇

 

第4章ATT&CK框架

 

4.1ATT&CK框架背景介紹

 

4.2ATT＆CK框架的使用

 

4.3本章小結

 

第5章ATT&CK for mobile框架

 

5.1初始訪問技術

 

5.2執行戰術

 

5.3持久化戰術

 

5.4權限提升戰術

 

5.5防禦規避

 

5.6憑證訪問戰術

 

5.7發現戰術

 

5.8橫向移動戰術

 

5.9收集戰術

 

5.10命令控制戰術

 

5.11滲濾技術

 

5.12沖擊戰術

 

5.13本章小結

 

第6章LLVM編譯框架

 

6.1LLVM概論

 

6.1.1LLVM介紹

 

6.1.2LLVM功能

 

6.1.3LLVM的主要子項目

 

6.1.4LLVM周邊項目

 

6.1.5LLVM目錄結構

 

6.2LLVM安裝與編譯

 

6.2.1LLVM的下載與安裝

 

6.2.2LLVM的編譯

 

6.2.3LLVM的使用

 

6.2.4編寫LLVM Pass

 

6.3IR入門

 

6.4本章小結

 

 

實戰篇

 

第7章整體加固實戰

 

7.1第一代加固技術簡介

 

7.1.1早期靜態殼

 

7.1.2後期動態加載殼

 

7.2APK包的結構

 

7.2.1APK打包過程

 

7.2.2軟件安裝過程

 

7.2.3軟件啟動流程

 

7.2.4AndroidManifest.xml

 

7.2.5resource.arsc

 

7.3原理介紹

 

7.4加固流程

 

7.5代碼實現

 

7.6本章小結

 

第8章指令抽取加固實戰

 

8.1第二代加固技術簡介

 

8.2Dex文件結構

 

8.3指令抽取恢復介紹

 

8.4加固流程

 

8.5代碼實現

 

8.6本章小結

 

第9章so文件加固

 

9.1第三代加固技術

 

9.1.1Dex2C

 

9.1.2VMP

 

9.2upx

 

9.3so文件格式

 

9.3.132位Elf文件解析

 

9.3.264位Elf文件解析

 

9.4upx的編譯

 

9.5本章小結

 

第10章基於OLLVM的加固殼開發

 

10.1OLLVM基礎

 

10.2OLLVM編譯與使用

 

10.3OLLVM殼原理

 

10.3.1指令替換混淆源碼分析

 

10.3.2控制流平展混淆源碼分析

 

10.3.3偽造控制流混淆源碼分析

 

10.4本章小結

 

 

第11章VMP加固技術

 

11.1VMP加固原理

 

11.2Dex VMP

 

11.2.1Dex VMP介紹

 

11.2.2Dvm虛擬機的解釋流程

 

11.2.3Advmp功能與源碼解析

 

11.3ARM VMP

 

11.3.1ARM VMP介紹

 

11.3.2編寫ARM VMP解釋器

 

11.3.3ARM VMP的加固流程

 

11.4本章小結

 

第12章iOS逆向工具的使用

 

12.1砸殼工具

 

12.1.1Clutch

 

12.1.2CrackerXI

 

12.2Classdump工具

 

12.3Tweaks工具

 

12.3.1Theos的前置環境

 

12.3.2安裝Theos

 

12.3.3編寫Tweaks程序

 

12.3.4Tweaks程序的編譯與安裝

 

12.4Cycript工具

 

12.4.1Cycript的安裝使用

 

12.4.2使用Cycript分析應用

 

12.4.3Cycript腳本

 

12.5本章小結

 

第13章進階逆向技巧

 

13.1使用Frida繞過SSLPinning

 

13.1.1HTTPS協議簡介

 

13.1.2SSLPinning技術

 

13.1.3繞過證書綁定

 

13.1.4使用SSLContext導入自定義證書

 

13.2終極抓包腳本

 

13.2.1抓包的攻防

 

13.2.2r0capture抓包原理

 

13.2.3r0capture抓包實踐

 

13.3Frida追蹤函數調用

 

13.3.1Frida Trace腳本解析

 

13.3.2Frida Trace腳本使用

 

13.4本章小結

 

案例篇

 

第14章Android惡意軟件分析

 

14.1遠程操控手機App分析

 

14.1.1配置MSF框架

 

14.1.2生成Android payload

 

14.1.3逆向分析木馬

 

14.2分析鎖機勒索軟件樣本

 

14.2.1勒索軟件的初步分析

 

14.2.2分析危險行為

 

14.2.3分析軟件釋放出來的應用

 

14.2.4鎖機軟件的解除

 

14.3可自我擴散的手機短信蠕蟲分析

 

14.3.1蠕蟲病毒分析

 

14.3.2分析木馬的本體

 

14.3.3分析結果

 

14.4本章小結

 

第15章APT攻擊案例分析

 

15.1APT簡介

 

15.2KONNI遠控木馬病毒

 

15.2.1KONNI惡意行為分析

 

15.2.2KONNI源碼逆向分析

 

15.2.3遠程控制機制解析

 

15.3GravityRAT間諜軟件

 

15.3.1GravityRAT惡意行為分析

 

15.3.2GravityRAT源碼逆向分析

 

15.4Anubis木馬

 

15.4.1Anubis木馬的功能與發展

 

15.4.2Anubis樣本行為逆向分析

 

15.5本章小結

 

參考文獻