富家不用买良田，书中自有千钟粟；
安居不用架高堂，书中自有黄金屋；
出门莫恨无人随，书中车马多如簇；
娶妻莫恨无良媒，书中自有颜如玉；
男儿若遂平生志，六经勤向窗前读。

—— 宋真宗赵恒《劝学诗》

移动安全篇

国 内移动安全书籍很少，主要还是以国外的居多，虽然大部分未引进，但是很多可以在网上找到高清彩色英文原版，有些可能就是官方自己发出来的。虽然国外这方面 的书籍多，但看过几本Andorid安全书籍，感觉还是一般，深度不够，比如《Android Security：Attacks and Defenses》、《Android Apps Security》、《Mobile Application Security》、《Mobile Malware Attacks and Defense》,国内的《移动互联网之智能终端安全揭秘》也是不推荐，过多列点组装，缺乏个人主观理解，《Android安全机制解析与应用实践》更是 别买，学术派写的wiki式书籍。笔者推荐几本：《Android Security Cookbook》、《Android 软件安全与逆向分析》主要是讲Android应用安全，Android系统安全的书籍尚无专著出版，不过4月份《Android Hacker’s Handbook》就要出版了，看目录还是感觉蛮有料的，iOS安全书籍相对少一些，主要有《iOS Hacker’s Handbook》（主要讲系统安全，别买中文版，译者缺乏软件安全基础，错误太多，令人不忍直视）、《iOS应用安全攻防》（英文版，偏向应用安全）、 《iOS应用逆向工程:分析与实战》（今年刚出的iOS应用逆向方面的书籍），其它关于Android与iOS开发的书籍，网上电子版很多，自己挑着看 吧，移动安全方面的书籍，我大多是看电子书，买的纸质书基本都是不行。所以目前，移动安全书籍，还是尽量看国内英文原版吧，如果对Android安全感兴 趣的，看下《Android Hacker’s Handbook》一书（补充：目前网上已有电子版）。

程序设计篇

此处 程序语言主要以C、ASM为主，毕竟自己主要也只是学这两门语言，其它脚本语言，如PHP、ASP就不提了。关于C语言的书籍就有传说中的 “C语言四大名著”，即《C程序设计语言》、《C和指针》、《C陷阱与缺陷》、《C专家编程》，感觉在C编程上这几本书就够用了，至于数据结构和算法可参 考其它国外名著。国产的编程书籍没几本可出手的，关于C入门书籍，很多人会推荐谭浩强那书，最初我也是读这本书入门的，但后来慢慢地发觉那书不是很好，错 误不少，编程风格也不好。对于那些写着精通XXX、24小时XXX、30天XXX、XXX从入门到精通，这些书都是拿书名来忽悠人的，纯粹是作者用来骗稿 费的，对比一下那些国外名著的书名就知道了，一本好书一般是不会用那些土名字的。我很赞成SAI兄弟说的，半年之内不接触的技术，就不用去买这方面的书籍 了。关于ASM主要就《80x86汇编语言程序设计》、《windows环境下的32位汇编程序设 计》这两本，汇编语言的书籍相对会少一点，一些网上书店的程序设计一栏中甚至没有asm一类。很多编程书籍的内容写的都是千篇一律，比如C语言书籍， 不外乎都是些变量、数组、指针这些，但是某些书籍中就会有提到编程风格、内存优化、树、链表、折半搜索法，GDB调试，linux方面的知识，比如《c primer plus》《C和指针》，这些也算是书本的一个亮点。关于windows编程，首推《windows程序设计》上下册、《windows核心编程》，其它 的感觉也没必要看太多，还是以实践为主。编程书籍由于附有很多代码，在电脑上看电子版的感觉很伤眼，容易眼疲劳，因此有必要的话，可以买实体书来看，而且 在实际应用中，有时可以再拿出来参考参考，方便查阅。与此同时，也要奉劝大家“纸上得来终觉浅，绝知此事要躬行”，特别是对于编程学习者，一定要动手写代 码，光看书是没用，这也是我曾经犯过的错误！而且有些书是用来参考查阅，不是用来看的，不然即使你把那些牛书都看完 ，到最后也可能连几句代码也写不出来，最后受伤的永远是你自己！

逆向工程篇

关于逆向工程这方面的书籍，自然是首 推看雪出版的《加密与解密》，在这方面，看雪的实力不会比国外的差，那里是逆向学习交流的好场所。在加解密第3版出版的时候就曾出现过山寨版的，因此大家 在购买时得看清楚了，最好到正规的书店购买，目前可能网上买不到了，不过网上有电子版。另外这方面的书籍还有《黑客反汇编揭密》《黑客调试技术揭密》 《逆向工程揭密》，国内出版的《软件调试》也是本牛书，弥补了国内这方面的空缺。还有出版的《IDA权威指南》也是本不错的书籍，详细讲解了IDA的 方方面面，看了之后，你会发现，会用IDA与不会用的差别有多大了。看雪翻译小组也曾出版过一本《IDA Pro代码破解揭秘》，不过这书我也没看过。在逆向工程这方面的书籍也差不多就这么几本了，其它像加解密入门实战，加密与解密实战超级手册，加解密全攻 略……这些基本上都可以摒弃，基本都是抄看雪加解密一书上的东西，大家无须花金钱、时间和精力在此上面。关于获取最新书讯的方法，大家可以订阅互动出版网 计算机新书的RSS，只要有计算机新书出来立马就知道了，它上面经常更新，不过很也是应用技术书籍，对于这些书籍，很多是 没必要买的，比如什么 windows 7使用大全，精通注册表，windows操作XXX，有必要的话，直接百度、google就行了，没必要花钱去买这类书籍。

脚本安全篇

在 脚本攻防方面的书籍，最早的曾云好写的《精通黑客脚本》，这书写得相当全面，由浅入深，虽然不厚，但排版密集，内容还是很多的，只是纸质不太好，很 粗糙，里面有很多渗透实战案例，当年国内这方面的法律还不是很严格，若是放在今天，可能里面一些内容会被删除掉。另外大家也可看看老外的 《黑客攻防技术宝典：WEB实战篇》（重点推荐）《xss attack》《sql injection》（中译本：《SQL注入攻击与防御》），以及《WEB安全测试》，英文版的网上有电子书。近两年国内出版的，主要就《白帽子讲WEB 安全》、《WEB前端黑客技术》，推荐一阅。

系统底层篇

当年看的第一本系统原理书籍是《深入理解计算机系统》，很不错的一本书。其它此类书籍还有《深入解析windows操作系统》《widnows系统原理与 实现》等，国内之前还出了本 《windows操作系统原理》，上面还写着重点大学计算机教材，后面看了乱雪博客上一篇文章后才知道那书是抄袭的，还被原作者控告了，最后还赔偿 了，当年我还从头看完了。关于溢出攻击的书籍，国内主要有《网络渗透技术》、《0day安全：软件漏洞分析技术》《灰帽黑客》，虽然 网渗一书很早出版，其中有些已经过时，但是其思想是不会过时的。若想获取最新书籍，最好的方法还是上面说的：订阅RSS。对于一些不熟悉的技术书籍，一定 要先看完整目录，然后找找网上是否有电子版的，如果有就先看看再决定是否再买，另外如果你已经买或看过同类的经典书籍，就需要重新考虑是否真的有必要买 了。讲了那么多要花钱的书，下面讲讲免费的一套，那就《intel开发手册》，这一套是由因特尔公司免费向全球赠送的书籍，共五本，之前我还订了两套，全 都从美国寄到学校来了，原本以为第一封邮件没收到，就再发了一封，没想到Intel居然连送两套过来，真是大方的不行啊！现在他们已经不再寄送纸质书，仅 寄送包含电子版的光盘。’