<Android APK签名验签>二:META-INF文件分析

最新推荐文章于 2024-06-22 10:16:44 发布
最新推荐文章于 2024-06-22 10:16:44 发布
阅读量2.5k 收藏 9
点赞数 4
分类专栏: Android 文章标签: android apk签名 keystore META-INF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37219611/article/details/75340163
版权

http://www.chenglong.ren/2016/12/30/android%E4%B8%AD%E7%AD%BE%E5%90%8D%E5%8E%9F%E7%90%86%E5%92%8C%E5%AE%89%E5%85%A8%E6%80%A7%E5%88%86%E6%9E%90%E4%B9%8Bmeta-inf%E6%96%87%E4%BB%B6%E8%AE%B2%E8%A7%A3/

这篇文章对META-INF文件分析的很细致,很到位。


我也来分析下这几个文件。


1.MANIFEST.MF


第一行表示Manifest-Version版本,第二行表示由什么软件产生,比如Oracle的Java1.8,Ant,Gradle等。

 之后内容是每一个文件的Hash值的Base64编码值。

可以通过在线文件Hash,在线Base64这种网站测试。

我使用的网站:对文件做hash:http://www.atool.org/file_hash.php     16进制字符串转换成base64编码:http://tomeko.net/online_tools/hex_to_base64.php?lang=en

结果和MANIFEST.MF文件中的一摸一样:





2.CERT.SF


第一行:版本号

第二行:MANIFEST.MF文件中,第一个属性块的hash-base64编码值,验证方法:将MANIFEST.MF文件前两行内容连同后面的两个回车换行拷贝到一个新的文件中保存,像验证上述文件一样的方法即可验证成功。


第三行为MANIFEST.MF文件的hash-base64编码值,验证方法与上述方法一样。

第四行为创建软件。

之后的每个块内容是MANIFEST.MF中对应每个文件块内容的hash-base64编码值,验证方法与验证SHA-256-Digest-Manifest-Main-Attributes的方法一样。


3.CERT.RSA

这个文件中存放的是证书信息以及对CERT.SF文件的签名。


lichao-
关注
专栏目录
第四章 常见的 Android 文件格式(五)(META-INF 目录)
zlmm741的博客
03-08 2107
文章目录META-INF 目录CERT.RSAMANIFEST.MFCERT.SF META-INF 目录 APK 包中有个“META_INF”目录,里面存储了一些与 APK 签名有关的信息: 执行如下命令,可解压签名信息: CERT.RSA CERT.RSA 文件中存放了 APK 的开发者证书与签名信息。通过该文件可试别开发者的身份,以及判断 APK 是否被篡改。CERT.RSA 文...
android 证书验证流程分析_Android签名机制之---签名验证过程详解
weixin_35489715的博客
01-16 1055
一、前言今天是元旦,也是Single Dog的嚎叫之日,只能写博客来祛除寂寞了,今天我们继续来看一下Android中的签名机制的姊妹篇:Android中是如何验证一个Apk签名。在前一篇文章中我们介绍了,Android中是如何对程序进行签名的,不了解的同学可以转战:当然在了解我们今天说到的知识点,这篇文章也是需要了解的,不然会有些知识点有些困惑的。、知识摘要在我们没有开始这篇文章之前,我们回顾...
META-INF包含了签名信息**,并且APK数字签名用于**确保APK包的完整性和安全性
BLOG域名:programb.blog.csdn.net
04-29 1053
开发者使用私钥对APK文件进行签名,生成一个唯一的指纹,这个过程涵盖了关于开发者身份的信息和一个时间戳,有助于标识应用的版本。通过上述分析可见,META-INF目录在JAR或APK文件中承担着管理和存储关键元数据的角色,而APK数字签名则是维护应用安全不可或缺的机制,它为应用的分发和安装提供了一层额外的安全保障。综上所述,META-INF目录在JAR或APK文件中承担着管理和存储关键元数据的角色,而APK数字签名则是维护应用安全不可或缺的机制,它为应用的分发和安装提供了一层额外的安全保障。
AndroidAndroidKeyStore 对数据进行签名和验证
最新发布
2401_85730762的博客
06-22 578
小编这些年深知大多数初中级Android工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-BAbP8UMa-1719022592517)]一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人。
Android APK文件结构分析
u010259833的博客
03-04 789
APK是指Android安装包,其通过android sdk编译的工具打包成apk的安装程序文件格式,其实际文件类型为zip,只要将后缀名修改为apk,即可使用。 APK主目录结构 目录或文件 功能 res/ 资源文件目录,包括图片、字符串等等。 lib/ so文件目录。 META-INF/ 签名信息目录,用来保证apk包的完整性和系统的安全性。 assets/ 可以存放一些...
如何通过META-INF/.SF文件区分apk是V1还是V2签名
chali1314的博客
05-19 734
通过META-INF/.SF文件区分apk是V1还是V2签名的方法如下: 如果.SF文件抬头包含X-Android-APK-Signed: 2,则表明该apk是V1和V2混合签名; 如果.SF文件抬头不包含X-Android-APK-Signed: 2,则表明该apk是纯V1签名; 如果连.SF文件都没有,则表明该apk是纯V2签名; 验证办法: 1、该命令签名apk为混合签名 java -jar apksigner.jar sign...
Android签名原理和安全性分析META-INF文件讲解
lostinai的专栏
01-23 9656
之前已经来了好几篇和RSA加密相关的文章了,这次还是趁热打铁,看一下RSA在APK签名中的应用,最后我们分析一下为什么这种方式能够具有安全性。RSA对apk签名的体现就在apk文件中的META-INF文件夹中,我们先来拿一个例子分析一下。 以最新的QQ6.6.2的apk为例,现在的解压工具默认就可以解压apk了,所以也不要先改成zip然后解压了,解压后apk里面的文件大概就是这样的: 里面
Android签名机制之---签名验证过程详解
尼古拉斯.赵四的博客
04-18 4697
一、前言 今天我们继续来看一下Android中的签名机制的姊妹篇:Android中是如何验证一个Apk签名。在前一篇文章中我们介绍了,Android中是如何对程序进行签名的,当然在了解我们今天说到的知识点,这篇文章也是需要了解的,不然会有些知识点有些困惑的。 、知识摘要 在我们没有开始这篇文章之前,我们回顾一下之前说到的签名机制流程: 1、对Apk中的每个文件做一次算法(数据摘要...
apk签名原理
Francisco_c82的博客
11-30 438
apk签名信息在apk解压后的META-INF目录下。这三个文件分别是MANIFEST.MF,CERT.SF,CERT.RSA。下面会说明这三个文件的作用以及生成方式。 MANIFEST.MF MANIFEST.MF会将整个apk中所有的文件进行SHA1-BASE64编码,生成的摘要信息就是SHA1-Digest。下面的就是MANIFEST.MF中记录AndroidManifest.xml的摘要...
Android V1 V2 签名机制
lyldalek的博客
08-16 631
很早之前就想写这个,直到现在才有时间。理解了这个发现对 HTTPS 也有了进一步的理解。 为什么需要签名 ? 了解 HTTPS 通信的同学应该知道,在消息通信时,必须至少解决两个问题: 一是确保消息来源的真实性 是确保消息不会被第三方篡改 我们先来看 HTTPS 签名以及校验的过程: [外链图片转存失败(img-kSnaDIy1-1565923799120)(https://github...
Android10安装APP,Android10.0应用安装白名单——添加签名校验
weixin_30277297的博客
05-28 1089
背景为了避免系统被安装上各种各样的app,客户要求系统需要有个安装白名单的功能。思路白名单功能主要是通过确认要安装的应用是否在白名单上,如果不在,则不允许安装。筛选的标准可以通过包名进行判断。但单纯包名进行判断还是不够安全,这里是想再加个签名校验的机制,毕竟每个签名都是独一无的。这个过程,主要难点在于如何获取各个apk签名。在说明如何在代码中获取到系统签名之前,先大概说下Android应用的签名...
Android打包签名——生成keystore到完成签名
11-15
详细说明了androidkeystore打包签名文件的申请过程
Android签名文件META-INF
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
05-03 1316
文件activity_search_result.xml为例,从MANIFEST.MF中可以看到,该文件的base64(sha1)值为 4L3KEBI/a+som57XQEDsO+uWBrk=,把该值复制到网址https://c.runoob.com/front-end/693/中,得到base64编码前的值为\xE0\xBD\x8A\x10\x12\x3F\x6B\xEB\xA8\x9B\xEE\x97\x80\x40\xEC\xBB\xAB\xE6\x86\xB9。.RSA,*.MF。
apk签名后在apk文件里的META-INF文件
weixin_40763897的博客
01-08 1252
apk的后缀改名为.zip再解压,我们会看到产生了如下文件,存放在META-INF这个文件夹中:这些签名后产生的文件有什么用呢?
Android 签名META-INF
热门推荐
xueerfei的专栏
05-20 1万+
Androidapk包中含有一个叫做META-INF文件夹,这个里边存储的是关于签名的一些信息。 其中将apk包j
android安全学习之5—apk中的META-INF目录
lyf's blog
10-15 1万+
什么是签名android系统中,不同App之间是依靠包名、数字签名共同来进行区分的。虽然Google建议我们用自己的域名的反写作为包名的前缀来定义包名(例如com.google.),但是这并不能做到万无一失,我们不能单单利用包名来区分apk,所以提出了签名的概念。顾名思义,就是在apk上打上作者的烙印。 先看如何签名。一般,在android代码中,build/target/product/se
android v2签名机制,APK签名机制之——V2签名机制详解
weixin_30773813的博客
05-28 2629
通过前一篇Apk签名机制之——JAR签名机制详解的分析我们知道,JAR签名需要对apk内所有文件进行hash校验,当资源较多时签名验证速度较慢。为了加快验证速度并加强完整性保证,Andorid在7.0引入一种全文件签名方案V2。下面来看V2方案的具体设计原理。1. V2签名设计思想在了解V2签名结构前,先来了解下zip(apk)文件的结构。1.1 ZIP文件结构zip包结构zip文件分为3部分:数...
Unity 打包APK签名用法原理及META-INF文件
小程小程,永不消沉
06-17 2768
先介绍下签名的概念,知道的略过。在消息通信时,必须解决两个问题:一是确保消息来源的真实性,是确保消息不会被第三方篡改。在安装Apk时,同样需要确保Apk来源的真实性,以及Apk没有被第三方篡改。为了解决这两个问题,开发者对Apk进行签名:在Apk中写入一个“指纹”。指纹写入以后,Apk中有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。 目录一、APK的Jar签名过程——META-INF文件签名文件校验过程三、签名相关命令四、keytool
Android安全笔记-Android签名文件及初略架构
IT1995的博客
07-27 393
APKMETA-INF文件夹中有里面有3个文件: CERT.RSA:包含了公钥信息和发布机构信息; MANIFEST.MF:对apk中每一个文件进行hash摘要; CERT.SF:不仅仅有MANIFEST.MF中的内容,还有MANIFEST.MF这个文件的hash摘要。 Android框架简略图: 其中bionic为Linux内核! Android文件系统: 系统应用: /system/app /system/priv-app /system/framewo..
<mime-mapping> <extension>apk</extension> <mime-type>application/vnd.android.package-archive</mime-type> </mime-mapping>
07-27
在这个例子中,它将扩展名为`.apk`的文件映射为MIME类型`application/vnd.android.package-archive`。 当Tomcat接收到一个带有扩展名为`.apk`的文件请求时,它会将其标识为`application/vnd.android.package-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值