Android-APK防止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验?,掌握这套精编Android高级面试题解析

于 2024-04-06 09:41:33 发布
阅读量745 收藏 23
点赞数 19
分类专栏: 程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84152825/article/details/137420217
版权
本文详细介绍了如何防止Android应用被二次签名,包括检查Application、在attachBaseContext之前检测签名、检查IPackageManager是否被动态代理等方法,并提供了具体的实现代码,帮助开发者加强应用安全防护。
摘要由CSDN通过智能技术生成

Object obj = declaredField.get(invoke);
Class cls2 = Class.forName(“android.content.pm.IPackageManager”);
this.base = obj;
this.sign = bArr;
this.appPkgName = context.getPackageName();
Object newProxyInstance = Proxy.newProxyInstance(cls2.getClassLoader(), new Class[]{cls2}, this);
declaredField.set(invoke, newProxyInstance);
PackageManager packageManager = context.getPackageManager();
Field declaredField2 = packageManager.getClass().getDeclaredField(“mPM”);
declaredField2.setAccessible(true);
declaredField2.set(packageManager, newProxyInstance);
System.out.println(“PmsHook success.”);
} catch (Exception e) {
System.err.println(“PmsHook failed.”);
e.printStackTrace();
}
}

/* access modifiers changed from: protected */
public void attachBaseContext(Context context) {
hook(context);
super.attachBaseContext(context);
}

public Object invoke(Object obj, Method method, Object[] objArr) throws Throwable {
if (“getPackageInfo”.equals(method.getName())) {
String str = objArr[0];
if ((objArr[1].intValue() & 64) != 0 && this.appPkgName.equals(str)) {
PackageInfo packageInfo = (PackageInfo) method.invoke(this.base, objArr);
packageInfo.signatures = new Signature[this.sign.length];
for (int i = 0; i < packageInfo.signatures.length; i++) {
packageInfo.signatures[i] = new Signature(this.sign[i]);
}
return packageInfo;
}
}
return method.invoke(this.base, objArr);
}
}

有点长,但是也不是很费解。

他继承自 Application,重写了 attachBaseContext 来调用 hook(context) ,在里面做了 IPackageManager 的动态代理,实现在调用 getPackageInfo 方法的时候,修改 signatures[] 为在破解之前计算好的数值。这就是为什么我们的检测手段无效了。

所谓的知己知彼,百战不殆,我们先来分析下他做了什么:

  1. 替换掉原来的 Application
  2. 在 attachBaseContext 里初始化 hook
  3. 动态代理 IPackageManager
  4. hook 替换掉 signatures 的值

所以应对方案也就水到渠成:

  1. 检查 Application
  2. 在调用 attachBaseContext 之前检测签名
  3. 检查 IPackageManager 有没有被动态代理
  4. 使用别的 API 去获取

检查 Application

他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。我们这里以检查 Application 的类名为例:

/**

  • 校验 application
    */
    private boolean checkApplication(){
    Application nowApplication = getApplication();
    String trueApplicationName = “MyApp”;
    String nowApplicationName = nowApplication.getClass().getSimpleName();
    return trueApplicationName.equals(nowApplicationName);

最低0.47元/天 解锁文章
2401_84152825
关注
专栏目录
Android-APK防止二次签名妙招:为何你的应用老是破解,该如何有效签名校验
2301_79835671的博客
04-04 1378
如果你看到了这里,觉得文章写得不错就给个赞呗?如果你觉得那里值得改进的,请给我留言。一定会认真查询,修正不足。最后针对Android程序员,我这边给大家整理了一些资料,包括不限于高级UI、性能优化、移动架构师、NDK、混合式开发(ReactNative+Weex)微信小程序、Flutter等全方面的Android进阶实践技术;希望能帮助到大家,也节省大家在网上搜索资料的时间来学习,也可以分享动态给身边好友一起学习!《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》,
Android-APK:为何你的应用老是破解,该如何有效签名校验
最新发布
2401_84148981的博客
04-16 686
目前已经更新的部分资料:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!jpg" />[外链图片转存中…(img-kxp1yUEE-1713207341073)][外链图片转存中…(img-Q0SIjEkh-1713207341074)][外链图片转存中…(img-O89uUCvS-1713207341075)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Apk反编译破解及重新打包
ShoppingChen的博客
09-14 3870
以前对app破解这些东西一直很感兴趣,一直认为这是大牛才可能实现的东西,后来发现,其实并不是这样的。 所以抽空我也来研习一番。
Unity 安卓 apk 反编译 重新打包 签名修改
july_unity的博客
05-21 6792
拿到一个Unity 打包出来的apk,如果没有加密的话 ,你是可以通过反编译修改其中的属性的。 步骤一 apk 解压 方法1: apk 变成 .zip 并解压 然后修改\assets\bin\Data\Managed\Assembly-CSharp-firstpass.dll 方法2: 下载apktool 软件对APK反编译(推荐) 下载地址:https://ibotpeaches.github.io/Apktool/install/ 我是windows 平台:下载位置如下 ...
Android反编译apk修改版本号重新打包签名详细教程(超详细)
技术超强的网络安全平台
09-16 4615
Apktool是一个逆向android非常有用的工具,可以用来反编译apk文件,并且能在修改部分资源文件后,重新打包成一个新的apk。而在我们平时工作中关于APK的打包以及签名都由AS工具可视化一键完成了,逆向开发这块需要对APK的打包签名的流程有较为深刻的理解,只有这样才能一步一步的手动完成反编译、打包、签名的整个过程。本文章只是着重介绍了反编译工具apktool的使用,至于dex2jar和 jd-gui工具将会另起一篇文章进行详细介绍,敬请关注!!!最后附上反编译工具的下载地址。
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3968
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook的实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这篇文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
APK 解包之后修改了文件之后重新打包并签名
爬楼梯的巨人的博客
02-08 2225
安卓客户端修改文件之后重新打包并签名
Android-APK:为何你的应用老是破解,该如何有效签名校验
m0_63174618的博客
03-30 973
他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。在学习 Application 的创建流程的时候可知(其实是我不会上网找的流程),另一个 LoadedApk 对象是通过 getPackageInfoNoCheck 方法创建的。只有具备这样的能力,架构师才能看清系统的整体,掌控全局,这也是架构师大局观的形成基础。
Android-APK防止二次签名妙招:为何你的应用老是破解,该如何有效签名校验
m0_64603929的博客
12-16 6232
private void hook(Context context) { try { DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode(“省略很长的签名 base64”, 0))); byte[][] bArr = new&n
Android命令行用已有的keystore对apk进行签名
热门推荐
猴子请来的救兵
10-25 2万+
转载请注明出处: http://blog.csdn.net/aa464971/article/details/52923571   这里要用到Android SDK中的一个工具jarsigner,只要配置了SDK环境变量就可以直接使用   方法一(推荐): 复制命令到记事本保存为apk-sign.bat后运行 set/p keystore_path=请输入.keystore的文件...
apk安全,apk加固,防破解,防逆向。附免费加固工具。
这个我知道诶的博客
03-04 1840
Android应用安全:实现apk加固,apk套壳,apk加密,apk隐藏,so加密,资源隐藏。防报毒,防标记,防篡改,防破解,防逆向。自动打包,自动改包,批量改包,批量打包。附免费加固工具。
APK反编译、重新打包、签名全过程
greatsam的博客
03-28 3579
帮助大家实现APK的反编译、修改、重新打包、签名
关于apk破解1
huanhuankj的博客
06-24 1975
apk破解的办法
Android签名机制之---签名过程详解
尼古拉斯.赵四的博客
04-18 1859
​一、前言 又是过了好长时间,没写文章的双手都有点难受了。今天是圣诞节,还是得上班。因为前几天有一个之前的同事,在申请微信SDK的时候,遇到签名的问题,问了我一下,结果把我难倒了。。我说Android中的签名大家都会熟悉的,就是为了安全,不让别人修改你的apk,但是我们真正的有了解多少呢?所以准备两篇文章好好介绍一下Android签名机制。 在说道Android签名之前,我们需要了解的几个知...
对已签名apk进行再次签名的方法如下
chali1314的博客
09-08 7683
对于客户提供的已签名apk进行再次签名的方法如下: 1、使用apktool工具,将原apk签名进行删除:命令如下:apktool d test.apk 2、对删除签名之后的文件夹进行再次打包,此时无签名,命令如下:apktool b test,此时在test目录下会有一个dist文件夹,dist下面的就是重新打包的apk; 3、使用jarsigner对步骤2当中重新打包的apk进行签名,命令如下:jarsigner -verbose -keystore debug.keystore -sigfile ce
Android签名校验过程详解
~山之歌~
11-30 1万+
目 录  一、签名校验原理概要    2 1、数字签名简介    2 2、CMS简介    2 二、signapk工具签名过程    4 三、OTA校验过程    6    Android签名校验过程详解 一、签名校验原理概要 1、数字签名简介 在日常生活中,签名通常被为个人身份的凭证。当一份文件上有某个人的签名时,便相信此份文件确实由此
校验数字签名防止apkP二次打包
tiandyoin的专栏
04-26 1万+
点评:实现这些程序后,最好用C语言写成.so库 Android系统的开放性和免费性等特征让开发者和用户趋之若鹜,用户也渐渐习惯了Android应用的这种免费午餐,但在免费的背后却有着巨大的安全阴影。     “Android APP二次打包”则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值