Android-APK:为何你的应用老是被破解,该如何有效地做签名校验?

于 2024-08-20 14:37:28 发布
阅读量648 收藏 19
点赞数 17
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86022640/article/details/141358085
版权

}

系统将应用的签名信息封装在 PackageInfo 中,调用 PackageManager 的 getPackageInfo(String packageName, int flags) 即可获取指定包名的签名信息。

这个并不用我多说了,如果没听过的话,用搜索引擎找一下「Android 签名校验」,花上几分钟就明白了,很容易的。

编译出 release 包并安装,可以看见运行效果很满意。但是事实真的如此么?下面我们让他作为受害者,被一键破解。

使用工具去除先前的校验

很多人可能不知道,去除简单的签名校验连小朋友都能做到!

请看具有「安全性测试」功能的「M* 管理器」上场,一键去除我们上文准备好的受害者的签名校验:

神奇的一幕发生了,居然还是通过,也就是我们刚才的操作形同虚设,我们把被破解后的安装包传回 PC,准备下一步分析

JADX 上场

为了知道他做了什么,我们需要逆向出目前受害者的代码。这里我们使用开源项目jadx来完成。

打开 jadx 之后会直接弹出「打开」对话框,选取被破解的 apk 即可:

简单对比下可以发现,多了一个「HookApplication」类

点击进去即可直接看见源代码:

public class HookApplication extends Application implements InvocationHandler {
private static final int GET_SIGNATURES = 64;
private String appPkgName = BuildConfig.FLAVOR;
private Object base;
private byte[][] sign;

private void hook(Context context) {
try {
DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode(“省略很长的签名 base64”, 0)));
byte[][] bArr = new byte[(dataInputStream.read() & 255)][];
for (int i = 0; i < bArr.length; i++) {
bArr[i] = new byte[dataInputStream.readInt()];
dataInputStream.readFully(bArr[i]);
}
Class cls = Class.forName(“android.app.ActivityThread”);
Object invoke = cls.getDeclaredMethod(“currentActivityThread”, new Class[0]).invoke(null, new Object[0]);
Field declaredField = cls.getDeclaredField(“sPackageManager”);
declaredField.setAccessible(true);
Object obj = declaredField.get(invoke);
Class cls2 = Class.forName(“android.content.pm.IPackageManager”);
this.base = obj;
this.sign = bArr;
this.appPkgName = context.getPackageName();
Object newProxyInstance = Proxy.newProxyInstance(cls2.getClassLoader(), new Class[]{cls2}, this);
declaredField.set(invoke, newProxyInstance);
PackageManager packageManager = context.getPackageManager();
Field declaredField2 = packageManager.getClass().getDeclaredField(“mPM”);
declaredField2.setAccessible(true);
declaredField2.set(packageManager, newProxyInstance);
System.out.println(“PmsHook success.”);
} catch (Exception e) {
System.err.println(“PmsHook failed.”);
e.printStackTrace();
}
}

/* access modifiers changed from: protected */
public void attachBaseContext(Context context) {
hook(context);
super.attachBaseContext(context);
}

public Object invoke(Object obj, Method method, Object[] objArr) throws Throwable {
if (“getPackageInfo”.equals(method.getName())) {
String str = objArr[0];
if ((objArr[1].intValue() & 64) != 0 && this.appPkgName.equals(str)) {
PackageInfo packageInfo = (PackageInfo) method.invoke(this.base, objArr);
packageInfo.signatures = new Signature[this.sign.length];
for (int i = 0; i < packageInfo.signatures.length; i++) {
packageInfo.signatures[i] = new Signature(this.sign[i]);
}
return packageInfo;
}
}
return method.invoke(this.base, objArr);
}
}

有点长,但是也不是很费解。

他继承自 Application,重写了 attachBaseContext 来调用 hook(context) ,在里面做了 IPackageManager 的动态代理,实现在调用 getPackageInfo 方法的时候,修改 signatures[] 为在破解之前计算好的数值。这就是为什么我们的检测手段无效了。

所谓的知己知彼,百战不殆,我们先来分析下他做了什么:

  1. 替换掉原来的 Application
  2. 在 attachBaseContext 里初始化 hook
  3. 动态代理 IPackageManager
  4. hook 替换掉 signatures 的值

所以应对方案也就水到渠成:

  1. 检查 Application
  2. 在调用 attachBaseContext 之前检测签名
  3. 检查 IPackageManager 有没有被动态代理
  4. 使用别的 API 去获取

检查 Application

他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。我们这里以检查 Application 的类名为例:

/**

  • 校验 application
    */
    private boolean checkApplication(){
    Application nowApplication = getApplication();
    String trueApplicationName = “MyApp”;
    String nowApplicationName = nowApplication.getClass().getSimpleName();
    return trueApplicationName.equals(nowApplicationName);
    }

  • 先定义我们自己的 Application ——「MyApp」

  • 然后通过 getApplication() 获取到 Application 实例

  • 然后通过 getClass() 获取到类信息

  • 然后通过 getSimpleName() 获取到类名

  • 与正确的值比对然后返回

可以看到可以检测出被二次打包

在 attachBaseContext 之前检测

只要我们检测的够早,他就追不上我们。不,他会 hook 到我们的几率就越小

A: 要有多早?
B: emm,就在 Application 的构造方法里检测吧
A: 那,,,没 context 呀
B: 那就自己造一个 context!
A: 你放屁!
B: 走你

通过学习 Application 的创建流程可知,Context 是通过 LoadedApk 调用 createAppContext 方法实现的

// LoadedApk.java
package android.app;
ContextImpl appContext = ContextImpl.createAppContext(mActivityThread, this);

函数原型为

// ContextImpl.java
package android.app;

@UnsupportedAppUsage
static ContextImpl createAppContext(ActivityThread mainThread, LoadedApk packageInfo) {
return createAppContext(mainThread, packageInfo, null);
}

第一个参数好说,因为这是个单例类,调用 currentActivityThread 即可获取 ActivityThread 对象

// ActivityThread.java
package android.app;

@UnsupportedAppUsage
private static volatile ActivityThread sCurrentActivityThread;

@UnsupportedAppUsage
public static ActivityThread currentActivityThread() {
return sCurrentActivityThread;
}

但是需要注意的是有 「@UnsupportedAppUsage」修饰,需要反射调用。在学习 Application 的创建流程的时候可知(其实是我不会上网找的流程),另一个 LoadedApk 对象是通过 getPackageInfoNoCheck 方法创建的。

// ActivityThread.java
package android.app;

@Override
@UnsupportedAppUsage
public final LoadedApk getPackageInfoNoCheck(ApplicationInfo ai,
CompatibilityInfo compatInfo) {
return getPackageInfo(ai, compatInfo, null, false, true, false);
}

这个值保存在 ActivityThread 实例的 mBoundApplication.info 变量里。

// ActivityThread.java
package android.app;

@UnsupportedAppUsage
AppBindData mBoundApplication;

@UnsupportedAppUsage
private void handleBindApplication(AppBindData data) {
// 省略无关代码
mBoundApplication = data;
// 省略无关代码
data.info = getPackageInfoNoCheck(data.appInfo, data.compatInfo);
// 省略无关代码
}

mBoundApplication 虽然不是静态变量,但是因为我们之前已经获取到了 ActivityThread 实例,所以不耽误我们反射获取。现在我们调用 ContextImpl.createAppContext 的条件已经满足了,反射调用即可。

ContextUtils 最终实现代码如下:

public class ContextUtils {

/**
* 手动构建 Context
*/
@SuppressLint({“DiscouragedPrivateApi”,“PrivateApi”})
public static Context getContext() throws ClassNotFoundException,
NoSuchMethodException,
InvocationTargetException,
IllegalAccessException,
NoSuchFieldException,
NullPointerException{

// 反射获取 ActivityThread 的 currentActivityThread 获取 mainThread
Class activityThreadClass = Class.forName(“android.app.ActivityThread”);
Method currentActivityThreadMethod =
activityThreadClass.getDeclaredMethod(“currentActivityThread”);
currentActivityThreadMethod.setAccessible(true);
Object mainThreadObj = currentActivityThreadMethod.invoke(null);

// 反射获取 mainThread 实例中的 mBoundApplication 字段
Field mBoundApplicationField = activityThreadClass.getDeclaredField(“mBoundApplication”);
mBoundApplicationField.setAccessible(true);
Object mBoundApplicationObj = mBoundApplicationField.get(mainThreadObj);

// 获取 mBoundApplication 的 packageInfo 变量
if (mBoundApplicationObj == null) throw new NullPointerException(“mBoundApplicationObj 反射值空”);
Class mBoundApplicationClass = mBoundApplicationObj.getClass();
Field infoField = mBoundApplicationClass.getDeclaredField(“info”);
infoField.setAccessible(true);
Object packageInfoObj = infoField.get(mBoundApplicationObj);

// 反射调用 ContextImpl.createAppContext(ActivityThread mainThread, LoadedApk packageInfo)
if (mainThreadObj == null) throw new NullPointerException(“mainThreadObj 反射值空”);
if (packageInfoObj == null) throw new NullPointerException(“packageInfoObj 反射值空”);
Method createAppContextMethod = Class.forName(“android.app.ContextImpl”).getDeclaredMethod(
“createAppContext”, 
mainThreadObj.getClass(), 
packageInfoObj.getClass());
createAppContextMethod.setAccessible(true);
return (Context) createAppContextMethod.invoke(null, mainThreadObj, packageInfoObj);

}
}

后面的事就好办多了,就是在 Application 的构造函数里用我们手动构造的 context 去获取签名(这个时候还没有 context)

public class MyApp extends Application {

private static boolean sEarlyCheckSignResult = false;
public static boolean getEarlyCheckSignResult(){ return sEarlyCheckSignResult;}

public MyApp() {
// 在构造函数里提早检测
sEarlyCheckSignResult = earlyCheckSign();
}

boolean earlyCheckSign(){
// 手动构造 context
Context context = ContextUtils.getContext();
// 省略用新 context 校验签名的过程(正常的检测一样)
return 检测结果;
}
}

效果也很棒:

检查 IPackageManager 动态代理

检测
sEarlyCheckSignResult = earlyCheckSign();
}

boolean earlyCheckSign(){
// 手动构造 context
Context context = ContextUtils.getContext();
// 省略用新 context 校验签名的过程(正常的检测一样)
return 检测结果;
}
}

效果也很棒:

[外链图片转存中…(img-19S7zaM9-1724135838493)]

检查 IPackageManager 动态代理

2401_86022640
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 安卓应用 防二次打包 防重签名 防篡改 安全加固
07-22
目前移动领域出现了相当部分的安全问题,新的恶意软件层出不穷,同时,企业对敏感数据保密性意识日益提高,作为移动开发者,有责任对最终用户的隐私和安全承担更多责任。另一方面,APP被篡改、盗用,直接伤害了开发者的知识和劳动权益,移动开发者有必要保护自己的利益不受损失。 这里实现了安卓移动APP防二次打包、防重签名、防篡改的自动化一键式加固工具。成熟的安全加固方案,均已实现和投入使用,解决了企业和个人的安全问题。针对开发者指定的移动应用apk),以本地工具的方式,自动完成加固。技术实现上,类似360加固宝、梆梆加固、爱加密、阿里聚安全类似。实现了: - 签名运行时校验 - 资源文件运行时校验 - dex资源运行时校验 - 其他资源运行时校验 保护个人移动应用或企业数据的安全性。如有源码需要,请联系作者本人。QQ:164836265
Android-APK防止二次签名妙招:为何你的应用老是破解,该如何有效签名校验
m0_64603929的博客
12-16 6145
private void hook(Context context) { try { DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode(“省略很长的签名 base64”, 0))); byte[][] bArr = new&n
Android-APK:为何你的应用老是破解,该如何有效签名校验
wa2231a的博客
01-29 2628
/** 普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = “d0add9987c7c84aeb7198c3ff26ca152”; String nowSignMD5 = “”; try { // 得到签名的MD5 PackageInfo packageInfo = getPackageManager().getPackageInfo( getPackageName(), PackageManager.GET_SIG
Android命令行用已有的keystore对apk进行签名
热门推荐
猴子请来的救兵
10-25 2万+
转载请注明出处: http://blog.csdn.net/aa464971/article/details/52923571   这里要用到Android SDK中的一个工具jarsigner,只要配置了SDK环境变量就可以直接使用   方法一(推荐): 复制命令到记事本保存为apk-sign.bat后运行 set/p keystore_path=请输入.keystore的文件...
安卓packageinfo的知识点
xueyoubangbang的博客
06-08 2876
PackageInfo类包含AndroidManifest.
python-for-android:将您的Python应用程序转换为Android APK
02-02
python-for-androidAndroid上Python应用程序的打包工具。 您可以创建自己的Python发行版(包括所需的模块和依赖项),并将其与自己的代码捆绑在APK中。 功能包括: 不同的应用程序后端,包括Kivy,PySDL2和带有...
uber-apk-signer:一种cli工具,可帮助对带有调试或提供的发行证书的单个或多个Android应用程序包(APK)进行签名和压缩。 它支持v1,v2和v3 Android签名方案具有嵌入式调试密钥库,并在签名后自动验证
01-30
一种工具,可通过调试或提供的发行证书(或多个)来帮助签署, 和验证多个Android应用程序包(APK)。 它支持和。 带有嵌入式调试密钥库的便捷调试签名。 每次签名后自动验证签名和zipalign。 主要特点: zipalign...
perl-android-apk:将 Perl for Android Interpreter 嵌入到 APK
06-16
该项目的目标是帮助人们将用于 Android 解释器的自定义 Perl 与他们的 Perl 脚本一起嵌入到不需要单独下载解释器的单个 APK 中。 它是从 android-python27 项目派生出来的。 消息: 2012 年 6 月 20 日 - Perl ...
fastlane-plugin-analyze-apk:用于分析Android APK的Fastlane插件
01-30
选项: 键描述apk_path 您要检查的APK的路径android_home Android SDK安装根目录的路径,例如〜/ tools / android-sdk-macosx build_tools_version Android构建工具版本以使用“ 23.0.2” 输出变量: 共享价值描述...
apk-mitm::robot_face:一个CLI应用程序,可自动准备Android APK文件以进行HTTPS检查
01-30
所有您需要的就是给它一个APK文件, apk-mitm将: 使用解码APK文件替换应用程序的以允许用户添加证书修改源代码以禁用各种实现使用对修补的APK文件进行使用对修补的APK文件进行您还可以使用apk-mitm来和生根不...
(原创)Android apk应用加固、字节对齐、二次签名全流程
Android_xiong_st的博客
06-01 4051
这篇博客主要是讲如何对apk应用进行加固、对齐和签名的,会有详细的步骤逐一介绍
android getpackageinfo第二个参数,Android 获取 PackageInfo 引发 Crash 填坑
weixin_36108913的博客
05-28 5249
一般 Android 通过 PackageInfo 这个类来获取应用安装包信息,比如应用内包含的所有 Activity 名称、应用版本号之类的。PackageInfo 通过 PackageManager 来获取,代码如下:PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageNa...
PackageInfo-获取权限为空
a_tuzi的专栏
06-15 1685
mContext.getPackageManager().getPackageInfo(mContext.getPackageName(), PackageManager.GET_PERMISSIONS);
获取app的版本及版本号
last_supervisor的博客
08-17 458
public static String getLocalVersionName(Context ctx) { String localVersion = ""; try { PackageInfo packageInfo = ctx.getApplicationContext() .getPackageManager() .getPackageInfo(ctx.getPackageName(), 0); .
android11 适配
xianrenli38的博客
03-04 352
查询已经所有已经安装的包,需要添加新的权限,否则查不到信息 <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/> 查询某个应用是否安装了 public static PackageInfo getPackageInfo(Context context, String pkgName) { try { return context.getPackageManager
Android应用-更新模块的实现
Yougel的博客
11-22 959
一个完整的app应用都会包含一个更新的功能模块,通过网上查询相关资料,今天我来简单说明一下更新模块的实现步骤一、版本的确认app要更新一般都是有新版本才要更新,所以首先要确认服务器端的版本是否比当前客户端的版本高,如果高就进行后续操作,否则就没有必要进行下去 1、首先要获取当前客户端应用的版本号//获取应用当前版本号 public int getVersionCode() {
[Android] 插件化框架Virtual APK实现原理解析
Aerfa789的博客
02-23 870
1 . 前言 Virtual APK是滴滴出行自研的一款优秀的插件化框架,其主要开发人员有任玉刚老师 说到任玉刚老师,他可以说是我Android FrameWork层的启蒙老师。刚接触Android的时候,在拖了几年控件、写了一些CURD操作后,就得出了这样的结论:客户端太无聊了,现在已经完全精通安卓开发了。直到有一天看了一本叫Android开发艺术探索》的书,不禁感慨:原来Android开发竟然还能这么玩,之前的认知实在是浅薄 言归正传,Virtual APK的特性和使用方法不是本文重点,如有需要了解
flutter 配置安卓的签名
最新发布
weixin_43575775的博客
01-05 1万+
最近遇到一个需求,需要实现app的热更新,了解了一下热更新方案时间的时间有点久,就了个app升级的过渡版本,然后遇到问题 真机安装遇到签名不一致的问题。很多会遇到 原因是keytool 是java的库 需要配置java环境 或者 在java目录下进行操作。在java环境目录 打开cmd 执行后 复制key.jks 到你的安卓目录下 (android/)最后在你 (android/app) 下的build.gradle 配置 buildTypes。这样就解决了升级遇到的签名版本不一致的问题。
Android---签名保护
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
08-14 348
其实签名保护也就是在运行apk时,来比较当时发行apk时的签名和现在的签名,如果不一样,则代表apk被进行过修改,然后进行下一步操作,比如关闭程序或者进行其他操作。 一,关键的函数 获得apk签名。 public String getSignature(){ Context context = mContext; try{ PackageInfo packageInfo =context.getPackageManager().getPacka
__ac_signature
04-27
__ac_signature是一个在Plone系统中用于身份验证的重要参数。当用户登录系统时,系统会为每个请求生成一个随机的session ID,即__ac,在每个请求中都携带着。__ac_signature则是一个用于验证__ac合法性的签名字符串。 __ac_signature是通过对__ac和一些其他参数进行哈希计算生成的,具体计算方法包括:获取请求的访问路径、查询参数、POST请求数据、时间戳等,将它们按照指定的顺序和格式进行拼接,再加上一个系统级别的密钥,使用SHA算法进行哈希计算得到。 当客户端发起请求时,系统会通过计算客户端提供的__ac和其他参数,生成一个__ac_signature,然后与客户端提供的__ac_signature进行比较,以验证该请求的合法性。因为__ac_signature是依赖于具体请求参数的,所以即使攻击者知道了一个用户的__ac,也无法伪造出合法的__ac_signature,从而保证了系统的安全性。 总之,__ac_signature是Plone系统中保障用户身份安全的一个重要参数,它通过验证__ac的合法性来防止恶意用户对系统的攻击,从而保护了系统的安全和稳定运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值