APP安全实战指南：ANDROID和IOS APP的安全攻防与合规 安亚龙著 移动端 合规上架 风控

（1）全面覆盖App安全：本书覆盖Android和iOS两大系统平台，从基础原理到高级技术，详细介绍了App的运行机制、常见攻击方式、安全加固、通信安全、业务防控及合规要求，提供了系统化的学习路径与实战方法，帮助读者全面掌握App安全的各个方面。（2）提供App合规指导：根据相关法规与标准，结合实操案例，提供了具体的App合规上架流程，确保符合监管要求，帮助企业和开发者有效应对严峻的安全合规挑战。（3）实战案例丰富：书中通过大量的一线攻防实战案例，展示了主流业务场景下的攻防与风控手段，如设备指纹、环境检测、用户行为识别等，帮助读者更好地理解和应对真实的安全威胁，构建更加安全的移动应用。（4）适用广泛，读者友好：本书适合移动安全、App开发、风控合规等领域的工程师及负责人阅读，无论是初学者还是资深从业者，都能从中获益。从基础入门到高级应用，读者可以逐步深入掌握App安全知识，同时通过丰富的实战案例提升职业技能。

本书覆盖Android和iOS两大主流系统，从零开始，带领读者全面掌握App安全的知识与技能。全书共分为十章，主要包括以下4个方面：1.详细介绍App的运行机制、分析工具和汇编语言等基础知识。帮助读者掌握必要的技术原理和分析技能。2.主要讲解App的常见攻击方式，以及安全加固和通信安全等传统的信息安全理念。为开发者提供有效的防御攻击的方法，构建更加安全的移动应用。3.重点关注业务防控，包括设备指纹、设备环境检测和用户异常行为的识别等。帮助开发者识别并应对各种潜在的安全威胁。4.针对日益严格的App监管环境，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及相关标准，结合实操，探讨如何实现App合规。总之，通过学习本书，读者不仅能够深入了解App安全的基础知识与高级技术，还能获得丰富的实战经验和实用的防护策略。

安亚龙，现任好未来集团应用安全负责人，曾担任陌陌的移动安全负责人等。10余年深耕App安全，精通App攻防、业务风控、隐私合规、逆向工程和病毒分析等领域。在与黑灰产的长期对抗过程中，主导开发了具备真机识别、环境分析、通信加密等功能的SDK，现在超亿级客户端上稳定运行，为用户和企业提供坚实的安全保障。

目    录
前  言
第1章  移动应用安全基础  1
1.1  移动应用的签名  1
1.1.1  Android签名机制和原理  1
1.1.2  iOS签名机制和原理  7
1.2  移动应用的安装  11
1.2.1  Android应用安装  11
1.2.2  iOS应用安装  13
1.3  移动应用的权限  14
1.3.1  Android应用的权限  14
1.3.2  iOS应用的权限  16
1.4  移动应用的运行  17
1.4.1  Android应用的运行  17
1.4.2  iOS应用的运行  20
第2章  应用分析基础  23
2.1  常用工具  23
2.1.1  越狱版商店Cydia  23
2.1.2  Root工具Magisk  25
2.1.3  Hook框架EdXposed  27
2.1.4  Hook框架Frida  35
2.1.5  Hook工具Objection  40
2.1.6  Hook工具Tweak  43
2.1.7  安全测试工具Drozer  47
2.2  常用命令行工具  49
2.2.1  ADB  49
2.2.2  readelf  53
2.2.3  Apktool  55
2.2.4  Clutch  55
2.2.5  Class-dump  57
2.3  Android应用分析  58
2.4  iOS应用分析  62
第3章  汇编基础  65
3.1  Smali汇编基础  65
3.1.1  基本类型  65
3.1.2  寄存器  66
3.1.3  基础指令  67
3.1.4  语法修饰符  70
3.1.5  函数调用  72
3.1.6  函数返回值  74
3.2  ARM汇编基础  75
3.2.1  寄存器  75
3.2.2  基础指令  78
3.2.3  函数调用  81
3.2.4  ARM64位汇编  84
第4章  常见的攻击方式  86
4.1  重签名攻击  86
4.1.1  Android应用重签名  86
4.1.2  iOS应用重签名  90
4.2  动态注入与Hook操作  92
4.2.1  Android动态注入  93
4.2.2  iOS动态注入  94
4.2.3  Android Hook攻击  97
4.2.4  iOS Hook攻击  100
4.3  动态调试  105
4.3.1  Android动态调试  105
4.3.2  iOS动态调试  111
4.4  Scheme攻击  114
4.5  WebView攻击  116
第5章  客户端安全加固  120
5.1  Java/Kotlin代码保护  120
5.2  C/C++代码保护  122
5.2.1  代码混淆保护  122
5.2.2  文件加壳保护  125
5.3  签名校验  126
5.3.1  Android签名校验  126
5.3.2  iOS签名校验  128
5.4  SO文件保护  129
5.5  应用防调试  132
5.5.1  Android应用防调试  132
5.5.2  iOS应用防调试  134
5.6  完整性校验  137
5.6.1  Android应用完整性校验  137
5.6.2  iOS应用完整性校验  138
5.7  防动态注入与防Hook  138
5.7.1  Android应用防动态注入与防Hook  139
5.7.2  iOS应用防动态注入与防Hook  140
5.8  Scheme防护  142
5.9  WebView防护  143
第6章  网络通信安全  145
6.1  通信防抓包  145
6.1.1  代理检测  145
6.1.2  代理对抗  146
6.1.3  证书校验  146
6.2  数据防篡改  150
6.2.1  请求参数防篡改  150
6.2.2  请求数据防重放  151
6.3  通信数据加密  152
第7章  设备指纹  158
7.1  设备指纹系统  158
7.2  设备数据采集  159
7.3  设备指纹生成  164
7.4  设备指纹隐藏  165
7.5  设备指纹应用  166
第8章  风险环境检测  169
8.1  模拟器检测  169
8.2  设备Root/越狱检测  171
8.2.1  Android Root检测  172
8.2.2  iOS越狱检测  174
8.3  函数Hook检测  175
8.3.1  Java Hook检测  175
8.3.2  GOT Hook检测  177
8.3.3  Inline Hook检测  180
8.3.4  Swizzle Hook检测  183
8.3.5  Fishhook检测  185
8.3.6  Substrate Hook检测  186
8.4  设备状态检测  187
8.4.1  调试状态检测  187
8.4.2  VPN状态检测    188
8.4.3  代理状态检测  189
8.4.4  USB调试状态检测  190
8.4.5  充电状态检测  191
第9章  异常用户识别  192
9.1  位置篡改识别  192
9.2  设备篡改识别  193
9.3  注册异常识别  194
9.4  登录异常识别  197
9.5  协议破解识别  198
9.6  批量控制识别  199
第10章  隐私合规  202
10.1  应用上架合规  202
10.1.1  软件著作权申请  202
10.1.2  ICP备案/ICP许可证  204
10.1.3  App备案  206
10.1.4  安全评估  208
10.1.5  CCRC认证  211
10.1.6  算法备案  217
10.2  合规实践指南  217
10.2.1  隐私政策  217
10.2.2  权限申请  220
10.2.3  个人信息收集  221
10.2.4  “双清单”与权限说明  223
10.2.5  个性化推荐与定向推送  226
10.2.6  自启动与关联启动  227
10.2.7  广告展示  229
10.3  违规整改规范  231
10.3.1  工信部  231
10.3.2  省通信管理局  233
10.3.3  网信办  236
10.3.4  教育部  238