许雷永 性别： 男 籍贯：河北省石家庄市

电话：17822749129 邮箱：xly1208@126.com
学历： 硕士研究生 英语：CET-6

教育经历
2013.9-2016.6 华中科技大学 计算机系统结构 工学硕士
2009.9-2013.6 长春理工大学 软件开发与测试 理学学士

工作背景
2021.2~至今 快手科技 游戏安全专家

1. 负责游戏业务的外挂治理与黑灰产对抗，解决游戏线上业务中的安全问题；
2. 负责自研反外挂能力的建设，为游戏中台的研发和发行储备基础安全能力；
3. 参与移动端隐私合规扫描和漏洞扫描平台能力的建设，识别数据合规风险和漏洞风险；
4. 支持游戏业务的数据隐私合规需求，诊断合规风险输出整改建议，助力业务规避监管风险；
5. 支持游戏业务其他各类安全需求，包括竞品逆向、加固能力、安全评估、三方组件检测与识别
等；

2018.6~ 2021.1 阿里互娱 安全中心负责人

1. 负责对公司所有游戏产品进行风险评估，研究、设计与实现通用的安全解决方案，并推动其落
地；
2. 负责应急响应外部披露的安全事件，提出解决方案并推动其在项目中落地；
3. 负责对竞品的逆向分析，并反馈到项目组助力游戏项目的研发；
4. 负责研究、分析和溯源黑灰产，获取黑灰产情报，分析其使用的技术、方法和盈利模式等；
5. 负责客户端（Android、iOS）对抗技术的研究与实现；
6. 负责游戏客户端的安全测试，挖掘存在的安全漏洞，并推动业务进行修复；
7. 负责设计与实现游戏整体安全解决方案及 SDLC 流程的建设，并推动其在项目中落地；
8. 研究与分析游戏外挂、辅助的实现原理与对抗方案，研究黑灰产工具及情报收集；

2016.7~2018.04 奇虎 360 信息安全部——信息安全工程师

1. 负责公司所有 Android 产品上线前的安全审核；

2. 负责国内外最新安全事件的应急响应与处理，包括漏洞的复现、病毒/木马的逆向分析及相关
技术文档的撰写；
3. 负责对 360SRC 报告的移动端安全漏洞的审核与评分定级；
4. 负责对竞品的逆向分析；
5. 负责对公司级移动安全开发的培训工作；
6. 负责对接政府/企业安全相关的合作项目的技术支持工作
项目经历

1、游戏反外挂能力建设
主导并实现了自研反外挂能力的建设，包括游戏反外挂 SDK(Android/iOS)、策略平台、情报
快
平台等，对标竞品 ACE 的绝大部分功能，并在定制外挂检测上优于 ACE；
手 2、Lua 加固
主导并参与实现了游戏的 Lua 加固方案，用于保护游戏中的 Lua 代码，并在多款游戏中落地，
科 经评估性能、质量与安全性均取得较好平衡；
3、其他游戏安全需求支持
技
支持线上游戏的安全需求，包括反外挂、黑灰产对抗、隐私合规、情报需求、DLP 等安全需
求支持与对接，协助业务解决线上问题；

1、 重点游戏线上安全问题治理
承接重点游戏（SLG、FPS）的线上安全需求，包括外挂治理、黑产刷号问题、渠道低价
代充等问题，针对具体问题输出解决方案，并为最终结果负责。
2、 安全 SDK 的设计与研发（Android、iOS）

阿 主导并参与实现了游戏安全 SDK（Android/iOS），为游戏的反外挂、黑灰产对抗等场景
提供了重要的数据支撑，并为多款游戏产品提供了安全保障。
里 3、 游戏恶意样本云端识别系统
参与并主导了云端恶意样本系统的建设，对主动发现、用户申诉、情报反馈等的恶意样本
互
进行检测与识别，具备样本变种识别的能力，并应用到线上外挂治理中。
4、 游戏竞品的逆向分析与提取
娱
支持项目组的需求，对竞品游戏中的算法、资源和实现原理进行逆向分析和素材等还原
提取，涉及到贴图、模型、动画等游戏资源文件，并将成果应用到新项目、新技术的研发中。
5、 Unity C#代码加固方案的研究与实现
主导参与并设计与实现了 Unity 引擎的 C#代码保护方案，对 Assembly-CSharp.dll 文
件和 mono 运行时进行加固保护，具备防内存 dump 的能力，极大的提高了游戏逆向的成
本。该方案已在公司一款游戏的 Android 和 Windows 端运行 2 年+，且未有被破解事件反
馈。
6、 Unity IL2CPP 加固方案的设计与实现(符号加密、内存变量加密与校验、符号混淆)
参与并实现了对 Unity IL2CPP 的加固方案的设计与实现，实现了对符号文件（global-
metedata.dat）的加固保护、内存变量防修改等功能，并在一款 FPS 类型游戏中应用，在性
能和安全性上均取得了业务的认可，同时极大的提高了游戏逆向的成本。
7、 Lua 加固方案的设计与实现
同上。
 1、 Android 通用脱壳模拟器的定制开发
通过修改 AOSP 源码，添加运行时输出 Dex 的功能，定制 Android 通用脱壳模拟器，能脱
掉 16 年及其以前的 85%的加固 App 的壳。
2、 QQ 浏览器虫洞问题研究并实现利用
在第一时间了解到 QQ 浏览器存在虫洞问题，在一天时间内完整逆向分析完浏览器虫洞代码，
3 并实现了完整利用，可远程获取 app 信息、远程显示弹窗信息、远程安装任意 app。
3、 竞品逆向分析
6 应公司产品需求，为推动产品快速成型，对竞品核心代码和资源进行逆向分析，并应用到新
产品中，并取得了良好的效果。
0
4、 Android Service Fuzz 的开发与漏洞挖掘
在对 Android 系统 Service 的漏洞挖掘过程中，编写了 Linux 平台和 Android 平台上的漏
洞 Fuzz 工具，并挖掘出多个漏洞，目前已分配编号的漏洞有 4 个 SVE、3 个 CVE，Google
还 有几个低位漏洞在等分配编号。
5、应邀参加 TesterHome 大会并做关于移动安全漏洞测试的主题演讲
6、Android 专项漏洞检工具的开发
开发一套基于 Xposed 的 Android 应用的常规漏洞的专项检测工具，以便减轻内网应用审核的效
率。

专业技能
1. 熟悉 C/C++、Java、C#、Python、Objective-C、Lua 等编程语言，并进行系统应用的开发
2. 熟悉 IDA、GDB、Jeb、Fiddler、Wireshark、Nmap 等工具的使用
3. 熟悉 ARM 平台下的汇编语言，并进行软件逆向分析
4. 了解 MD5、RC4、TEA、AES、RSA 等常见加密算法及常用网络编解码格式
5. 熟悉并使用 Xposed、Substrate、Frida 等 hook 框架
6. 熟悉 Android 安全开发相关技能，有逆向及协议分析的能力
7. 熟悉 Dalvik 虚拟机 smali 汇编代码及 so 库的逆向协议分析
8. 熟悉 Android 应用和 Android 系统漏洞，具有漏洞挖掘的能力，有较系统的安全意识
9. 熟悉 iOS 及 macOS 的逆向相关技能，并能独立完成相关工作
10. 了解游戏主流引擎及其逆向分析方法及安全加固技术
11. 熟悉常见外挂和辅助的实现原理，并可独立完成外挂的编写用以助力外挂对抗方案的建设

自我评价
1. 对技术有极大热忱，对业务有较深了解，对团队协作有较多经验；
2. 喜欢有挑战的事情，对能为他人带来价值的事情抱有极大的热情；