序

2010年，我在武汉发起和组建了安天移动安全团队，致力于打造世界级移动恶意代码检测引擎和工程化体系。这10年来，从移动恶意代码的演变来看，不论是早期的恶意代码技术和家族的多样化，还是2015年开始的威胁个性化和长尾化，又或是2017年开始的威胁泛化，移动恶意代码都呈现出一副和PC恶意代码截然不同的风格。其传播模型、技术特点、攻击动机、攻击目标和攻击策略等，都使得移动互联网的威胁和风险更具特质。

终端和操作系统的巨大差异，以及终端设备与应用所承载的功能、数据和场景的不同，使得移动终端处在一个特别的攻击环节上。从某种程度上来说，移动恶意代码的复杂性和高等级性往往并不体现在漏洞利用或隐藏潜伏上，而是更多体现在攻击所采取的技术组合策略的复杂性和场景的移动化与多样性上。与此同时，由于移动终端本身有着极强的个人属性或场景关联性，所以移动恶意代码天生带有针对性的特点，这也进一步提高了威胁溯源和威胁分析的难度。换言之，我们往往可以通过高级漏洞的利用、明确的功能目标、针对性的攻击动机或是较强风格的代码片段来界定和甄别PC平台上的APT恶意代码，而在移动终端，往往需要更多的场景关联分析、综合分析和技术推理才能完成移动APT（本书中定义为MAPT）的界定、研判和溯源。

从场景的角度来说，由于移动终端具有移动性和无线性特点，MAPT往往伴随着和PC平台或物联网设备的关联，并在不同的时间和空间分布下具备不同的威胁特性。因此，我们需要具备一定量的有关APT、物联网的背景知识，并采取较为专业的情报和威胁分析建模策略对威胁的上下文进行充分准备，才能使得对MAPT的分析具备足够的前景知识。

从综合分析的角度来说，MAPT在技术策略上有更强的组合性和灵活性，既需要我们较为全面地掌握移动恶意代码的常见技术方式，也需要我们对移动终端操作系统平台和应用生态有着较为系统的认知，还需要我们具备广泛的开源威胁情报关联思维能力，从而在分析和实践中更高效地应对MAPT。

最后，从现实的MAPT案例中，我们可以看到的是，移动智能终端既可以作为攻击目标，也可以成为APT攻击中某一环节的跳板，还可以成为攻击的前置辅助环节（如扮演侦测和敏感数据窃取等模糊关联的目标），这使得我们在分析MAPT案例时，常常需要充分利用场景和综合分析中已经构建的关键分析成果，并结合有效的威胁情报平台和工具，进行适当的技术推理，才能有效甄别和标定出一个完整的攻击链和攻击组织。

从最早被披露的MAPT案例公开至今，我们一方面能看到MAPT事件已经呈现出数量逐步上升，攻击危害程度越来越严重的趋势；另一方面，我们也可以看到至今并没有持续的MAPT和专业的MAPT组织被披露并获得广泛的关注。这让很多人产生了MAPT不存在或并不主流的判断。而我认为并非如此，而且从上述3个维度来看，MAPT的甄别和鉴定面临着系统性的挑战和严重的鉴别模糊问题。如果我们不正面应对并科学地从MAPT模式的特点出发，采取主动防御和分析对抗的姿态，而仅仅只关注水面上的冰山一角，必然无法知晓水面之下更为庞大的未知攻击是真实存在的。

不论是我们在早期对移动恶意代码载体的细粒度和向量化处理，还是在检测框架上采取的算法化线路，以及大家并未看到的引擎算法和我们后端自动化平台的一体化设计，都使得安天移动安全团队从2014年以来，在AV-TEST和AV-C上取得的世界级领先的技术优势延续到了今天。而在打造这个技术成就的过程中，本书的3位作者不仅仅和我共同见证了移动恶意代码的演变，也一直处在与移动恶意代码工程化对抗和分析研究的一线。本书是他们在技术对抗过程中所积累的丰富经验的结晶，这些对真实对抗技术的理解在整理成书后，也许无法给大家APT的那种高级感，但这恰恰就是MAPT的另类特点。本书通过MAPT的特殊威胁视角，为大家展现了极其立体和丰满的移动恶意代码分析和对抗技术实践过程，是一本非常完备的便于我们积极对抗和防御MAPT的工具书。

 

潘宣辰

安天移动安全CEO