前言

提起网络攻击，我们脑海中会出现病毒、木马、恶意代码、漏洞等词汇，它们在网络攻击的发展中扮演着重要的角色。除此之外，对于很多读者而言，APT（Advanced Persistent Threat，高级持续性危胁）也是一个重要的、不陌生的词汇。FireEye问世以来，APT这个名词便日益为大众所知晓，并不断出现在各大安全厂商的技术报告中。目前，APT事件已经成为国际形势在网络空间的一个投影。在移动互联网的发展过程中，智能手机等移动终端仿佛成为人类肢体的一个衍生器官，时刻伴随着人们的生活作息。它们除了具有个人属性之外，还具备极强的社会属性，这使得攻击者对移动设备的攻击日益重视，相关攻击事件层出不穷。

《2019年我国互联网网络安全态势综述》中提到，“规模性、破坏性急剧上升”成为有组织网络攻击的新特点。APT攻击则是其中破环性的代表，对于防护者来说，细致准确的分析成为部署安全防护措施的重要依据，但是由于各种原因，目前市面上的绝大多数报告往往点到为止，忽略了非常多的信息和关键细节，给人一种很宏大但是推理逻辑不够清晰的感觉，缺乏实践路线。本书立足于MAPT这一细分场景，以恶意代码及其衍生物作为基本条件，进行对应的情报抽取和分析，而不是追求对于恶意代码的免杀、绕过以及高超对抗技巧的细节描述。

读者可以根据本书中的推理条件，自行验证具体案例，建立起对应的概念、方法论和理论基础。希望本书能激发大家从事相关工作的兴趣，同时也希望能对从事相关工作的读者有所裨益。

本书的编写汇集了多位安全从业者的经验和智慧，具体章节安排如下。

第1章主要介绍了APT及MAPT的相关概念，以及它们的总体现状。

第2章主要介绍了几种典型的APT分析模型和防护模型。

第3章主要介绍了公开情报的运营基础、APT知识库建设、知名的APT组织以及APT命名方式。

第4章主要介绍了移动恶意代码的相关内容，包括移动平台的安全模型、移动恶意代码的发展过程、常见的恶意代码分类、移动恶意代码的投放方式以及移动恶意代码的运维与建设。

第5章主要通过静态分析和动态分析两个维度为大家呈现了实际分析中使用工具的分析过程，除此之外还介绍了MAPT中常见的对抗手段。

第6章主要介绍了安全大数据挖掘分析的相关内容，包括机器学习在恶意代码检测中的应用，基于公开运营情报的大数据挖掘以及威胁建模。

第7章基于实际工作中的经验，对威胁分析进行了总结，其中解答了为什么要进行分析，如何进行分析以及分析的依据是什么等问题。除此之外，本章还总结了目前比较常用的几种情报获取方式。

第8章主要从固件分析、固件解析、固件调试、物联网漏洞、物联网攻击案例分析等方面，系统介绍了如何对物联网进行分析。

第9章选取了部分典型的MAPT公开案例进行分析，是对第1章~第8章内容的系统应用。

第10章是对全书的总结，介绍了MAPT在国际博弈中的作用、威胁趋势，以及网络安全现有技术的缺陷等内容，同时展望了MAPT影响下网络安全的未来之路。

面对愈加严峻的有目的、有组织的网络攻击形势，我们应该构建动态、全面、纵深、一体化的安全防护体系，以应对新的APT事件，构建绿色、健康的安全生态。

网络安全的攻击与防御是一把双刃剑，我们写本书的初衷是将工作及学习中的实践经验分享给读者，希望读者利用相关的技术进行网络安全防御，提高网络安全意识，以此保护读者的资产。本书中的所有内容仅供技术学习与研究，请勿将本书中讲解的内容应用于非法用途。

本书作为一本面向安全从业者、安全技术爱好者、高等院校相关专业教师以及学生的工具书，主要介绍了MAPT的相关背景、分析路线、情报提取过程、安全模型、情报运营、典型案例等内容，是该领域较为详细的一本书，能够弥补相关资料分散、缺乏整理的问题。

作为多年工作在网络安全第一线的从业者，无论是在工作上还是生活上，都受到过许多朋友、同事和领导的帮助，在此我们感谢共同奋斗过的大家，正是由于大家的努力，我们才能开阔眼界，跳出移动恶意代码本身。同时，感谢他们为本书提出的宝贵建议。

本书从构思到完成经历了近三年的时间，这三年间，三位作者的工作、学习和生活上经历了很大的变化，有的工作调动，有的重返校园，有的生活变化，地处三城的我们并没有放弃，也没有改变我们想要将脑海中的内容分享给大家的初心。2021年，在网络安全的战场上，我们还在继续努力，希望在不久的未来能够取得不错的成绩。在本书的编写过程中，除了朋友、同事的专业建议与帮助，编辑的指导，我们三人尤其要感谢我们的家人，感谢他们对我们生活的悉心照顾，对我们工作、学习、科研的支持，谢谢他们，也希望我们国家的安全水平在众多从业者、科研人员的推动下越走越高，越走越好。

当然，由于我们能力有限，书中难免出现错误、疏漏之处，敬请读者和同行们批评指正。另外，我们整理了一份你可能会用到的链接资源表，欢迎访问图灵社区本书主页查看。

高坤　李梓源　徐雨晴