推荐序

第一次看到生强的文章是在看雪安全论坛,他以“非虫”的笔名发表了几篇Android安全的文章。标题很低调,内容却极为丰富,逻辑清晰,实践性强,最重要的是很有“干货”。后来得知他在写书,一直保持关注,今日终于要出版了。

这本书的价值无疑是巨大的。

在此之前,即便我们把范围扩大到全球,也没有哪本书具体而系统地专门介绍Android逆向技术和安全分析技术。这可能有多方面的原因,但其中最重要的一点是竞争与利益。推动信息安全技术发展的,除了爱好者,大致可以分为三类:学术研究人员、企业研发人员、攻击者。

在Android安全方向,研究人员相对更为开放——许多团队开放了系统原型的源码,或者提供了可用的工具——但有时候他们也只发表论文以介绍系统设计和结果,却不公开可以复用的资源。近两年来,顶级会议对Android安全的研究颇为青睐,他们如此选择,可以理解。

在这个市场正高速增长的产业中,对企业而言,核心技术更是直接关系到产品的功能和性能,关系到企业竞争力和市场份额,许多企业会为了扩大技术影响而发布白皮书,但真正前沿的、独有的东西,极少会轻易公开。

攻击者则最为神秘,为了躲避风险,他们大都想尽一切办法隐藏自己的痕迹,低调以求生存。在地下产业链迅速形成后,对他们而言,安全技术更是非法获利的根本保障。

在这种情况下,刚刚进入或希望进入这一领域的人会发现,他们面临的是各种零散而不成体系的、质量参次不齐的、可能泛泛而谈的、也可能已经过时的技术资料,他们不得不去重复别人走过的路、犯别人犯过的错,将精力消耗在这些琐碎之中,而难以真正跟上技术的发展。

生强的这本书,无疑将大为改善这种局面,堪称破局之作。做到这一点颇为不易,这意味着大量的阅读、总结、尝试和创造。事实上,书中介绍的很多技术和知识,我此前从未在别的地方看到过。

另一方面,在Android这个平台,我们已经面临诸多的威胁。恶意代码数量呈指数增长,并且出现了多种对抗分析、检测、查杀的技术;应用软件和数字内容的版权不断遭到侵害,软件破解、软件篡改、广告库修改和植入、恶意代码植入、应用内付费破解等普遍存在;应用软件本身的安全漏洞频繁出现在国内外互联网企业的产品中,数据泄露和账户被盗等潜在风险让人担忧;官方系统、第三方定制系统和预装软件的漏洞不断被发现,对系统安全与稳定产生极大的威胁;移动支付从概念逐步转为实践,而对通信技术的攻击、对算法和协议的攻击时常发生;移动设备正融入办公环境,但移动平台的攻击与APT攻击结合的趋势日益明显……更糟的是,随着地下产业链的不断成熟和扩大,以及攻击技术的不断发展和改进,这些威胁和相关攻击只会来势更凶。

毫无疑问,在Android安全上我们面临极大的挑战。在这个时候,生强的这本书起到的将是雪中送炭的作用。

安全技术几乎都是双刃剑,它们既能协助我们开发更有效的保护技术,也几乎必定会被攻击者学习和参考。这里的问题是,大量安全技术的首次大范围公开,是否会带来广泛的模仿和学习,从而引发更多的攻击?在这个问题上,安全界一直存在争议。1987年出版的一本书中首次公布了感染式病毒的反汇编代码,引发大量模仿的新病毒出现。自此,这个问题成为每一本里程碑式的安全书籍都无法绕开的话题。我个人更喜欢的则是这样一个观点,在《信息安全工程》中,Ross Anderson说:“尽管一些恶意分子会从这样的书中获益,但他们大都已经知道了这些技巧,而好人们获得的收益会多得多。”

在生强写这本书的过程中,我们就不少细节有过交流和讨论。他的认真给我留下了非常深刻的印象。与其他的安全书籍相比,这本书在这样几个方面尤为突出:

实践性强。这本书的几乎每一个部分,都结合实际例子,一步步讲解如何操作。因此,它对刚入门的人或者想快速了解其中某个话题的人会有很大的帮助。事实上,缺乏可操作性,是Android安全方面现有论文、白皮书、技术文章和书籍最大的问题之一,很多人读到最后可能对内容有了一些概念,却不知道从何下手。但这本书则有很大不同。

时效性强。在交流中,我惊讶地发现,刚刚发布不久的Santoku虚拟机、APIMonitor等工具,以及Androguard的新特性等,已经出现在了这本书中。这意味着,生强在一边写作的同时,还一边关注业界的最新进展,并做了学习、尝试和总结。因此,这本书将具有几乎和论文一样的时效性。

深度和广度适当。这本书涉及的面很广,实际上,仅仅是目录本身,就是一份极好的自学参考大纲。而其中最实用的那些话题,例如常见C/C++代码结构的ARM目标程序反汇编特点,没有源码情况下对Android软件的调试技术等,都有深入的介绍。

此前,我曾写过一本叫amatutor的Android恶意代码分析教程,并通过网络分享,后来由于时间和精力暂停了更新。这段经历让我尤其深刻地体会到在这样一个新的领域写出一本好书的不易。一直有人来信希望我能继续写,但自从了解到生强的这些工作,我就松了一口气,并向他们大力推荐这本书。同时,我也向周边的同事、同行推荐,我相信这本书的内容可以证明它的价值。

肖梓航(Claud)

安天实验室高级研究员

secmobi.com创始人

目录