关于该职位
我们正在寻找一位高技能的逆向工程师,专注于移动应用程序,以揭示、分析和提取流行电子商务公司使用的API数据。该角色位于安全研究、数据工程和系统级编程的交汇处。您将与数据团队紧密合作,通过逆向工程客户端行为并构建工具,以便从未记录的API中提取数据,从而实现强大、可扩展的数据管道。
主要职责
• 逆向工程移动应用程序,以提取API行为和认证逻辑。
• 对移动应用程序进行静态和动态分析。
• 开发和维护用于挂钩、解密、流量拦截和数据提取的工具和脚本。
• 在移动设备和工作站之间构建和管理代理环境,以进行流量检查。
• 创建自定义代理工具包,以实时操纵和分析HTTP/S流量。
• 使用Frida、Xposed或Substrate等工具实现和维护本机代码挂钩。
• 进行ARM/x86汇编分析,以深入了解应用程序行为。
• 逆向工程网页前端逻辑(例如,JavaScript混淆、令牌生成)以提取或模拟客户端API交互。
• 确保绕过安全特性,例如反调试、反仿真和反挂钩。
所需技能与经验
• 精通Python或Java,JavaScript是加分项。
• 熟练使用逆向工程工具,如IDA Pro、Ghidra、Jadx、Binary Ninja、Radare2和JEB。
• 熟练使用调试器(例如,x64dbg、GDB、LLDB、WinDbg)进行实时进程检查。
• 对移动操作系统内部有深入了解,包括Android(AOS)和iOS及相关文件格式(APK、IPA、ELF、Mach-O、PE)。
• 具有网络流量分析经验,包括代理机制和网络协议。
• 熟悉内存管理概念(堆/栈、分页、虚拟内存)和操作系统架构(Linux/macOS/Windows)。
加分项
• 具有网络爬虫和抓取经验。
• 了解内核级开发(例如,套接字驱动程序)。
• 之前参与过Android越狱或iOS越狱(针对移动设备)。
• 有与安全研究环境中的防御者/攻击者合作的背景。
• 理解编译器内部和代码审计实践。
您将构建的内容
• 一个高保真、可靠的API数据提取层,适用于移动/网页客户端。
• 用于解密、API仿真和响应解析的自动化管道。
• 支持高吞吐量抓取的系统,同时考虑反机器人和反欺诈防御。 
新加坡