Android系统安全和反编译实战（附光盘） pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

刘云，朱桂英 著

图书标签:

• Android安全
• 系统安全
• 反编译
• 逆向工程
• 漏洞分析
• 实战
• APK
• Android开发
• 安全测试
• 移动安全

出版社： 清华大学出版社

ISBN：9787302401285

版次：1

商品编码：11766697

品牌：清华大学

包装：平装

开本：16开

出版时间：2015-08-01

用纸：胶版纸

页数：672

正文语种：中文

附件：光盘

编辑推荐

别让你的代码成为别人的炮灰
? 多角度剖析Android的安全机制和实现原理。
? 实录460分钟、102个系统安全高清学习视频。
? 2个大型综合案例，与实际开发过程可无缝对接。
? 详尽、实用的安全解决方案。
? 教授精髓，精讲精炼。赠送源码，拿来就用。
超值赠送：
? 赠送15个Android应用开发综合案例
? 赠送38个Android应用开发学习视频

内容简介

本书内容分为 4篇，共计 22个章节，循序渐进地讲解了 Android系统安全分析和破解实战的基本知识。本书从搭建应用开发环境开始讲起，依次讲解了基础知识篇、系统安全架构篇、安全攻防篇、综合实战篇这四大部分的内容。在讲解每一个知识点时，都遵循了理论联系实际的讲解方式，从内核分析到安全架构实现，再到加壳、解壳、反编译和漏洞解析，最后到综合实例演练，彻底剖析了 Android系统安全分析和破解的所有知识点。本书涵盖了 Android系统安全分析和破解的主要内容，讲解详细并且通俗易懂，不但适合高手们的学习，也特别有利于初学者学习并消化。
本书适合 Android安全架构者、Linux开发人员、系统安全人员、Android源码分析人员、Android应用开发人员和从事 Android等移动设备安全工作的人员学习，也可以作为相关培训学校、大专院校和杀毒软件公司的教学及培训用书。

目录

第1篇 基础知识篇

第 1章 Android系统介绍............................... 2

1.1 纵览智能设备系统 .................................... 2

1.2 分析 Android成功的秘诀 ......................... 6

1.3 剖析 Android系统架构 ............................. 7

1.4 核心组件 .................................................... 9

1.5 进程和线程 .............................................. 11

第 2章 搭建 Android开发环境 .....................13

2.1 准备工作 .................................................. 13

2.2 安装 JDK.................................................. 13

2.3 获取并安装 Eclipse和 Android SDK ..... 16

2.4 安装 ADT................................................. 20

2.5 验证设置 .................................................. 21

2.6 Android虚拟设备（AVD） ................... 23

2.7 分析 Android应用工程文件 ................... 27

第2篇 系统安全架构篇

第 3章 Android系统的安全机制.................. 32

3.1 Android安全机制概述 ............................ 32

3.2 Linux系统的安全机制............................ 35

3.3 沙箱模型 .................................................. 41

3.4 Android应用程序的安全机制 ................ 43

3.5 分区加载机制 .......................................... 44

第 4章 Android通信安全机制 ..................... 46

4.1 进程和线程安全 ...................................... 46

4.2 远程过程调用机制（RPC）................... 48

4.3 Binder安全机制基础 .............................. 48

4.4 Binder机制架构基础 .............................. 50

4.5 Service Manager管理 Binder机制的安全 ........... 51

4.6 MediaServer安全通信机制分析............. 70

第 5章 内存安全和优化 ............................... 95

5.1 Ashmem系统详解................................... 95

5.2 内存优化机制详解 ................................ 109

5.3 Android内存系统的安全机制分析 ...... 132

5.4 常用的垃圾收集算法 ............................ 134

5.5 Android的内存泄漏.............................. 137

第 6章 文件加密.........................................153

6.1 Dmcrypt加密机制介绍 ......................... 153

6.2 Vold机制介绍 ....................................... 168

第 7章 电话系统的安全机制 ...................... 207

7.1 Android电话系统详解 .......................... 207

7.2 分析 Android音频系统 ......................... 220

7.3 Android电话系统的安全机制 .............. 229

第 8章 短信系统的安全机制 ...................... 242

8.1 Android短信系统详解 .......................... 242

8.2 短信加密机制的设计模式 .................... 273

第 9章 Android应用组件的安全机制 .........276

9.1 设置组件的可访问性 ............................ 276

9.2 Intent组件的安全机制 .......................... 276

9.3 Activity组件的安全机制 ...................... 279

9.4 Content Provider组件的权限机制 ........ 281

9.5 Service组件的安全机制 ....................... 284

9.6 Broadcast Receiver组件的安全机制 .... 296

第3篇 安全攻防篇

第 10章 编写安全的应用程序 .................... 318

10.1 开发第一个 Android应用程序 ........... 318

10.2 声明不同的权限 .................................. 322

10.3 发布 Android程序生成 APK .............. 327

第 11章 APK的自我保护机制....................340

11.1 分析 DEX文件的结构 ........................ 340

11.2 完整性校验 .......................................... 344

11.3 Java反射 .............................................. 346

11.4 动态加载 .............................................. 347

11.5 字符串处理 .......................................... 348

11.6 代码乱序操作 ...................................... 349

11.7 模拟器检测 .......................................... 351

11.8 APK伪加密 ......................................... 353

11.9 调试器检测 .......................................... 354

11.10 代码混淆 ............................................ 355

第 12章 常用的反编译工具........................ 357

12.1 反编译基础 .......................................... 357

12.2 防止 APK文件被反编译 .................... 360

12.3 IDA Pro反编译工具详解.................... 361

12.4 其他常用的反编译工具 ...................... 362

12.5 Android NDK ....................................... 367

前言/序言

Android系统安全和反编译实战（附光盘）

Android系统安全与逆向工程深度解析 引言 在移动互联网飞速发展的浪潮中，Android操作系统以其开放性、灵活性和庞大的用户基数，成为了全球最主流的移动平台。然而，这种开放性也伴随着严峻的安全挑战。恶意软件层出不穷，应用漏洞层出不穷，用户隐私泄露风险日益增加，这些都迫切需要我们深入理解Android系统的安全机制，并掌握有效的逆向工程技术来应对。 本书旨在为读者提供一个全面、深入的Android系统安全和逆向工程实战指南。我们不仅会剖析Android系统的核心安全原理，还会详细讲解如何在实际项目中应用逆向工程技术来发现和修复安全漏洞，以及如何保护自身应用程序免受攻击。本书的编写风格力求严谨、务实，强调理论与实践相结合，通过丰富的案例分析和代码示例，帮助读者快速掌握相关技能，成为一名合格的Android安全专家。 本书内容概览 第一部分：Android系统安全原理深度剖析 本部分将系统性地介绍Android系统的安全架构和关键安全机制，为读者打下坚实的理论基础。 第一章：Android安全模型概览 Android安全模型的核心设计理念：沙箱隔离、权限管理、代码签名。 Android安全架构的分层解析：Linux内核层、HAL层、Android框架层、应用层。 Android安全策略的演进：从早期版本到最新Android的重点安全特性介绍。 理解Android的安全信任链：从硬件启动到应用运行的信任传递过程。 第二章：Linux内核安全特性在Android中的应用 Linux内核对Android安全的基础支撑：进程隔离、内存管理、文件系统安全。 SELinux（Security-Enhanced Linux）详解： SELinux的工作原理：强制访问控制（MAC）模型。 SELinux的策略语言和规则：domain/type/class/permission。 Android系统中SELinux的实现与应用：system_server、zygote等关键进程的策略。 SELinux策略的分析与调试方法。 Linux Capabilities：细化权限管理，限制进程的特权。 cgroups（Control Groups）：资源隔离与限制，对进程进行安全管理。 第三章：Android应用程序安全机制 APK（Android Package）文件结构与安全：AndroidManifest.xml的解析与安全考量。 Dalvik/ART虚拟机安全： Dex文件格式与字节码。 ART（Android Runtime）的优化与安全特性。 Classloader的安全机制。 Android权限模型详解： 危险权限与普通权限的区分。 运行时权限的申请与管理。 自定义权限的定义与使用。 Binder IPC机制的安全： Binder的工作原理与通信流程。 Binder服务的接口安全与权限校验。 Binder攻击向量与防护策略。 Content Provider安全： Content Provider的数据暴露风险。 URI权限和读写权限控制。 Content Provider的SQL注入防护。 第四章：Android系统服务与组件安全 System Server的安全：Android系统核心服务的守护者。 Activity Manager Service (AMS) 和 Window Manager Service (WMS) 的安全考量。 PackageManager Service (PMS) 的安全：应用安装、更新、卸载的安全管理。 其他关键系统服务（如Telephony, Location, Camera等）的安全接口与权限校验。 SystemUI的安全：状态栏、通知栏等用户界面的安全。 第五章：Android数据安全与隐私保护 Android存储机制安全： 内部存储、外部存储、SharedPreferences、SQLite数据库的安全性。 加密存储方案：EncryptedSharedPreferences, EncryptedFile。 Android通信安全： HTTPS/TLS在Android中的应用。 网络抓包与中间人攻击的风险。 证书固定（Certificate Pinning）的实现与挑战。 Android身份认证与加密： Keystore系统：密钥管理与硬件安全模块（HSM）的集成。 BiometricPrompt（生物识别）API的安全使用。 Android KDF（Key Derivation Function）的应用。 Android数据泄露防护： 日志记录的安全问题。 剪贴板安全。 剪贴板数据敏感性检测与限制。 剪贴板数据访问权限。 第二部分：Android逆向工程实战技术 本部分将深入讲解Android应用程序的逆向工程技术，从静态分析到动态调试，帮助读者掌握发现应用漏洞的实用方法。 第六章：Android逆向工程基础 逆向工程的法律与道德边界：明确合规操作的重要性。 Android应用程序的打包与反编译： APK文件的结构分析。 使用Apktool进行反编译：smali代码与资源文件。 Dex2jar与JD-GUI：将Dex文件转换为Java字节码。 smali语言基础：理解Dalvik/ART字节码的表示。 Java反编译工具的原理与局限性。 第七章：Android应用程序静态分析 AndroidManifest.xml深入分析：组件暴露、权限声明、Intent Filter的安全隐患。 资源文件分析：XML布局、字符串、图片等敏感信息。 代码静态分析工具： MobSF (Mobile Security Framework)：自动化安全扫描。 Androguard：强大的Python库，用于Android应用程序分析。 IDA Pro与Ghidra：对原生库（so文件）的逆向分析。 代码混淆与反混淆技术： ProGuard/R8的工作原理。 混淆代码的还原与分析。 识别潜在的安全漏洞： 硬编码的敏感信息（API Key、密码等）。 不安全的加密算法使用。 不安全的日志记录。 组件的权限绕过。 第八章：Android应用程序动态调试与分析 Android调试器（adb）的运用： 安装、启动、停止应用。 文件传输与日志查看。 Frida框架：强大的动态插桩工具。 Frida的安装与基本用法。 Hooking技术：拦截函数调用，修改参数与返回值。 JavaScript API的应用。 使用Frida分析Java层和Native层的代码。 JEB Decompiler：集成静态反编译和动态调试的利器。 Wireshark/Burp Suite：网络流量分析。 SSL/TLS抓包与解密（如使用SSL Unpinning）。 HTTP/HTTPS请求的分析。 内存分析工具： Android Studio Profiler：内存占用分析。 Dump Java Heap：分析Java堆中的对象。 第九章：Android原生库（.so文件）逆向分析 原生库在Android中的作用与加载机制。 ELF文件格式解析。 IDA Pro与Ghidra在ARM/AArch64架构下的反编译。 动态调试Native层：GDB、LLDB的使用。 常见的Native层安全漏洞：缓冲区溢出、格式化字符串漏洞、越界访问。 第十章：常见Android应用漏洞挖掘与实战案例 Webview漏洞： JavaScript接口（addJavascriptInterface）的安全问题。 URL加载不当。 文件访问权限。 Intent劫持与注入： 隐式Intent的匹配与潜在风险。 显式Intent的安全性。 文件存储漏洞： 敏感信息明文存储。 共享文件访问权限不当。 网络通信安全漏洞： 不安全的HTTP通信。 证书校验不严格。 第三方SDK安全风险： SDK的权限申请与数据收集。 SDK自身的安全漏洞。 案例分析：通过实际漏洞案例，演示分析过程和修复方法。 第三部分：Android安全加固与开发实践 本部分将介绍如何对Android应用程序进行安全加固，以提高其安全性，并分享一些安全开发的最佳实践。 第十一章：Android应用程序安全加固技术 代码混淆与代码虚拟化： ProGuard/R8的配置与优化。 第三方代码混淆工具介绍。 Native层代码保护： 加密/加壳SO文件。 防止调试与Hook。 Anti-Tampering（防篡改）与Anti-Debugging（反调试）： 校验APK签名。 检测调试器。 检测Root设备。 动态代码加载与执行的安全。 加密算法的强化。 加固方案的选择与评估。 第十二章：安全开发的最佳实践 安全编码规范： 输入验证与输出编码。 最小权限原则。 避免硬编码敏感信息。 API安全设计： Binder接口的安全设计。 Content Provider的安全暴露。 第三方库的安全管理： 选择可信赖的第三方库。 定期更新第三方库。 安全测试与漏洞扫描： 单元测试与集成测试中的安全场景。 使用安全扫描工具辅助开发。 安全开发生命周期（SDL）的引入。 第十三章：Android系统漏洞挖掘与利用（进阶） Binder漏洞挖掘与利用。 System Server组件的安全漏洞。 Kernel层安全漏洞概述（如use-after-free, race condition）。 Android漏洞赏金计划与信息披露。 Rootkit与Jailbreak技术浅析（仅作技术科普，不鼓励非法行为）。 附录 常用Android安全工具清单与使用简介。 Android安全开发资源链接。 常见安全术语解释。 结语 Android系统的安全性和逆向工程是一个持续演进的领域。本书的目标是为读者提供一个坚实的基础，帮助您理解Android系统的安全脉络，掌握实用的逆向工程技能，并指导您在开发中构建更安全的应用程序。通过不断学习和实践，您将能够更好地应对Android平台上的安全挑战，保护用户隐私，并为构建一个更安全的移动生态系统贡献力量。

评分☆☆☆☆☆

这本书的装帧设计就足够吸引人，硬壳封面，配上沉稳的蓝色和银色字体，显得专业且有分量，拿到手里就感觉是一本值得深入研读的工具书。包装也很仔细，书本和光盘用独立的隔层保护，避免了运输过程中的磕碰。打开书页，纸张的触感很舒服，不是那种廉价的复印纸，印刷清晰，排版也很大气，不会觉得密密麻麻的压抑。最开始的几章，虽然我还没来得及深入学习，但大致翻阅了一下，感觉作者在 Android 系统的基础架构和安全模型方面讲解得很透彻，从 Dalvik/ART 虚拟机到 SELinux，再到各种加固技术，都提到了，而且似乎还有一些非常实用的案例分析。我尤其期待后面关于反编译的部分，这部分内容是我想重点掌握的，希望这本书能给我带来惊喜，教会我如何去分析和理解 Android 应用的内部机制。光盘里面的资源，虽然还没打开，但名字上就写着“实战”，这让我非常期待，希望里面包含有用的开发工具、示例代码或者一些高级的调试技巧，能够辅助我更好地理解书本上的内容。总的来说，从第一印象来看，这是一本内容扎实、制作精良的书籍，我对它充满了期待。

评分☆☆☆☆☆

我之所以会被这本书吸引，是因为它完美地契合了我近期对 Android 安全和应用逆向工程的浓厚兴趣。作为一个对技术细节有强烈探索欲望的读者，我总是希望能够深入了解事物的本质。Android 系统作为目前最主流的移动操作系统之一，其安全机制和底层原理一直是我非常好奇的。而反编译技术，则是我眼中一把能够打开“黑盒”的钥匙，能够让我窥探应用程序的设计思路和实现细节。这本书的名字直接明了地表达了其核心内容，让我一眼就能识别出它是否是我所需要的。我尤其看重的是“实战”二字，这让我对书本内容的实用性和操作性充满了期待。我希望书中不仅仅是理论的堆砌，而是能够有丰富的案例分析，详细的步骤指导，以及能够实际操作的示例代码。我对光盘的附带也抱有很高的期望，希望它能够提供一些高质量的工具、调试脚本，或者是一些经过精心设计的实验环境，能够帮助我更好地理解和实践书中的内容。总的来说，这本书在我心中代表着一次深入学习 Android 安全和反编译知识的绝佳机会。

评分☆☆☆☆☆

这本书的作者在我心目中已经是一个大神级别的存在了，之前读过他写的几篇关于 Android 安全的文章，都写得非常精彩，深入浅出，而且观点独到。这次看到他出了新书，而且是专门讲 Android 系统安全和反编译的，毫不犹豫就入手了。这本书的出版，对于我们这些在 Android 安全领域摸爬滚打的开发者来说，绝对是及时雨。Android 系统本身就是一个庞大而复杂的生态，想要深入理解它的安全机制，并掌握反编译的技巧，没有一本好书指引，简直是寸步难行。我特别看重的是这本书的“实战”两个字，这意味着它不仅仅停留在理论层面，而是会教我们如何实际操作，如何去分析和解决问题。我个人在反编译方面一直觉得有些吃力，很多时候只能看懂一些表面的代码，但深层次的逻辑和加密方式就束手无策了。希望这本书能够系统地介绍反编译的工具、方法和思路，能够帮助我突破瓶颈，真正掌握这项技能。而且，关于 Android 系统本身的安全加固，我也有很多疑问，比如如何更有效地防止应用被破解，如何保护敏感数据不被泄露等等，这些都是工作中经常会遇到的难题。我相信这本书一定能给我带来很多启发和解决方案。

评分☆☆☆☆☆

从一本读者的角度来说，选择一本关于 Android 系统安全和反编译的书，无非是希望能够学到真东西，能够解决实际工作中的问题，或者满足自己对技术的好奇心。这本书在我眼中，恰好满足了这些需求。我之所以选择它，是因为它涵盖了我目前最需要学习的两个方向：一是 Android 系统本身的安全特性，二是反编译技术，用来理解和分析应用程序。这两个方面对于任何想要深入了解 Android 生态的人来说，都是必不可少的。我特别关注的是书本内容的深度和广度。我希望它能够从 Android 系统的底层原理讲起，然后逐步深入到各种安全机制的实现，例如权限管理、进程隔离、加密算法的应用等等。同时，对于反编译的部分，我期望它能够详细介绍各种常用的反编译工具的使用方法，并且提供一些实用的逆向分析案例，让我能够通过模仿和实践来掌握这项技能。书名中的“实战”二字，给了我很大的信心，我相信这本书不会是纸上谈兵，而是会包含很多能够落地的内容。光盘的附带，更是锦上添花，我期待里面有可以运行的示例代码，或者是一些经过精心挑选的工具，这些都能极大地提高我的学习效率。

评分☆☆☆☆☆

我是一名 Android 开发新手，在学习过程中，我越来越发现理解 Android 系统的内部工作原理和安全机制的重要性。很多时候，即使是简单的功能，其背后也隐藏着复杂的安全考量。因此，我一直在寻找一本能够系统介绍 Android 安全知识的书籍。这本书的出现，对我来说无疑是一个福音。我被它的书名所吸引，因为它直接点出了我最感兴趣的两个方面：Android 系统安全和反编译。我希望这本书能够帮助我理解 Android 系统是如何保护应用程序免受恶意攻击的，以及如何防止应用程序被未经授权的修改。反编译的部分，我希望能够学习到如何使用相关的工具来分析 APK 文件，理解应用程序的代码逻辑，甚至是被隐藏的功能。我一直觉得，理解了应用程序是如何被构建的，才能更好地去保护它。这本书的“实战”二字，让我觉得它非常实用，我期待书中能够提供一些实际操作的指导，而不是仅仅停留在理论层面。光盘的附带，更让我觉得物超所值，我希望能从中获得一些额外的资源，比如代码示例或者学习资料，来帮助我更好地掌握书本上的知识。

评分☆☆☆☆☆

不错，是正版，慢慢学习学习

评分☆☆☆☆☆

书的质量不错，京东自营，比较放心。

评分☆☆☆☆☆

有帮助，特别是对安全开发人员

评分☆☆☆☆☆

oooooooooooooooooooo

评分☆☆☆☆☆

还行，不错。。。。。。。。

评分☆☆☆☆☆

还没有仔细看，这个需要研究才行。

评分☆☆☆☆☆

书本身非常差。首先，作者自己逻辑混乱，章节之间内容胡乱穿越，拜托你多学几天语文，再来写书骗钱。其次，内容浅而无用，对不起这么大的标题。

评分☆☆☆☆☆

书不错啊

评分☆☆☆☆☆

5这本书真的很实用 我非常喜欢 希望从中学到东西 加油