Android安全攻防实战【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

Android安全攻防实战PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 Android开发工具1

1.1简介1

1.2安装Android开发工具（ADT）2

1.3安装Java开发包（JDK）5

1.4更新API资源9

1.5另一种安装ADT的方法11

1.6安装原生开发包（Native Development Kit， NDK）15

1.7虚拟Android设备16

1.8使用命令行创建Android虚拟设备（AVD）19

1.9使用Android调试桥（ADB）与AVD交互21

1.10从AV D上复制出/复制入文件22

1.11通过ADB在AVD中安装app23

第2章 实践app安全24

2.1简介24

2.2检查app的证书和签名24

2.3对Android app签名33

2.4验证app的签名37

2.5探索AndroidManifest.xml文件37

2.6通过ADB与activity管理器交互47

2.7通过ADB提取app里的资源50

第3章 Android安全评估工具56

3.1简介56

3.2制作Santoku启动盘和安装Santoku58

3.3安装drozer62

3.4运行一个drozer会话71

3.5枚举己安装的包（package）72

3.6枚举activity78

3.7枚举content provider80

3.8枚举service83

3.9枚举broadcast receiver85

3.10确定app的受攻击面（attack surface）87

3.11运行activity89

3.12编写drozer模块——一个驱动枚举模块91

3.13编写一个app证书枚举器94

第4章 利用app中的漏洞98

4.1简介98

4.2收集logcat泄露的信息101

4.3检查网络流量106

4.4通过activity manager被动嗅探intent111

4.5攻击service117

4.6攻击broadcast receiver121

4.7枚举有漏洞的content provider123

4.8从有漏洞的content provider中提取数据126

4.9向content provider插入数据129

4.10枚举有SQL-注入漏洞的content provider131

4.11利用可调试的app134

4.12对app做中间人攻击139

第5章 保护app146

5.1简介146

5.2保护app的组件147

5.3通过定制权限保护组件149

5.4保护content provider的路径（path）152

5.5防御SQL注入攻击155

5.6验证app的签名（防篡改）157

5.7通过检测安装程序、模拟器、调试标志位反逆向工程161

5.8用ProGuad删除所有日志消息164

5.9用GexGuard进行高级代码混淆168

第6章 逆向app173

6.1简介173

6.2把Java源码编译成DEX文件175

6.3解析DEX文件的格式177

6.4解释Dalvik字节码194

6.5把DEX反编译回Java202

6.6反编译app的原生库205

6.7使用GDB server调试Android进程207

第7章 网络安全211

7.1简介211

7.2验证SSL自签名证书212

7.3使用OnionKit库中的StrongTrustManager221

7.4 SSL pinning——限定受信SSL的范围223

第8章 原生代码中漏洞的利用与分析231

8.1简介231

8.2检查文件的权限232

8.3交叉编译原生可执行程序241

8.4利用竞争条件引发的漏洞249

8.5栈溢出漏洞的利用254

8.6自动fuzzing测试Android原生代码261

第9章 加密与在开发时使用设备管理策略274

9.1简介274

9.2使用加密库275

9.3生成对称加密密钥277

9.4保护SharedPreferences数据281

9.5基于口令的加密283

9.6用SQLCipher加密数据库287

9.7 Android KeyStore provider290

9.8在开发时使用设备管理策略293