[车联网安全自学篇] Android安全之绕过APK重打包签名校验「防篡改校验」

已于 2022-09-27 18:02:18 修改
阅读量2.2k 收藏 1
点赞数 1
分类专栏: 车联网安全自学篇之Android安全 文章标签: 信息安全 网络安全 渗透测试
于 2022-05-26 15:38:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/124985156
版权

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

0x01 前言

近年来,移动设备(例如智能手机和平板电脑)的发展十分迅速,Android平台占据了智能移动市场的主要份额,随着移动设备的流行和普及。涌现出大量的移动应用,这些移动应用不仅增强了移动设备的功能,还大大丰富了用户体验,用户逐渐习惯于使用多样的应用来娱乐和办公,智能移动设备和移动应用已经成为人们生活中不可或缺的一部分

APK签名是Android软件的一种有效身份标识,因为签名所使用的秘钥文件是开发自己所独有的,而当APK被重新打包后,APK的签名信息势必会被篡改,所有我们就可以根据软件运行时签名与发布时签名的相同与否来决定是否需要将app中止运行;那么既然有此方法,为什么我们的软件还是会被破解呢?那是因为破解者在反编译APK时,更改了我们的代码逻辑,让APP不能够正确的执行开发原先设定的原始校验代码,例如常见的改变if判断,返回错误返回值,校验方法被重新编写等,这都是破解者绕开校验的思路

Android应用在正式发布前需进行数字签名,在安装时系统会对APP签名进行检查,检查通过才能成功安装运行。这可在一定程度上保护APP不被篡改。但由于签名验签机制很多技术都是公开的,被研究的比较透彻,再加上不同平台的签名机制对APP限制程度各不相同,对安全性要求比较高的APP如果只依靠系统层面的签名保护进行防篡改/重打包还远远不够。渗透测试过程中,有时我

了解本专栏 订阅专栏 解锁全文
橙留香Park
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Android签名漏洞_apk签名校验漏洞,2024年最新大牛最佳总结
2401_84159911的博客
04-09 844
这个漏洞是由国外的一家安全公司Bluebox Security在2013年7月初揭露的,这个漏洞自Android1.6版本就一直存在,漏洞的覆盖范围达到99%。
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3761
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook的实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
Android-APK止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验
最新发布
2401_84148974的博客
04-16 662
希望大家能有一个好心态,想进什么样的公司要想清楚,并不一定是大公司,我选的也不是特大厂。当然如果你不知道选或是没有规划,那就选大公司!希望我们能先选好想去的公司再投或内推,而不是有一个公司要我我就去!还有就是不要害怕,也不要有压力,平常心对待就行,但准备要充足。最后希望大家都能拿到一份满意的 offer!如果目前有一份工作也请好好珍惜好好努力,找工作其实挺累挺辛苦的。这里附上上述的面试题相关的几十套字节跳动,京东,小米,腾讯、头条、阿里、美团等公司19年的面试题。
签名校验破解过程
JiaoMaGe的博客
11-12 1万+
签名校验破解过程 一、前提说明 我们知道Android中的每个应用都是有一个唯一的签名,如果一个应用没有被签名是不允许安装到设备中的,一般我们在运行debug程序的时候也是有默认的签名文件的,只是IDE帮我们做了签名工作,一般在应用发版的时候会用唯一的签名文件进行签名,那么我们在以往的破解中可以看到,我们有时候需要在反编译应用之后,然后从新签名打包运行,这个又给了很多二次打包团队谋取利益的一种手...
apk签名校验
Allison_的博客
06-26 7756
1.确认app是否有签名校验,将apk签名打包安装后发现apk出现直接闪退或安装失败则说明apk存在签名校验,在代码中去寻找相关签名校验代码。 判决校验代码是写在java层还是so层 java层搜索关键字sign,signature,checkSign,signCheck,getPackageManager,getPackageInfo,verify,same等 so层 分析java层...
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 3782
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,止被签名和二次打包(采用混淆、验证签名、服务器端验证等技术范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名
Android反编译apk修改版本号打包签名详细教程(超详细)
技术超强的网络安全平台
09-16 3889
Apktool是一个逆向android非常有用的工具,可以用来反编译apk文件,并且能在修改部分资源文件后,打包成一个新的apk。而在我们平时工作中关于APK打包以及签名都由AS工具可视化一键完成了,逆向开发这块需要对APK打包签名的流程有较为深刻的理解,只有这样才能一步一步的手动完成反编译、打包签名的整个过程。本文章只是着介绍了反编译工具apktool的使用,至于dex2jar和 jd-gui工具将会另起一文章进行详细介绍,敬请关注!!!最后附上反编译工具的下载地址。
在电脑上修改apk签名apk
Janking's Blog
02-20 8009
总共分为两步 修改apk 使用bandizip 等软件直接打开apk,进行需要的修改,然后把META-INF文件夹中的xxx.RSA、xxx.SF和xxx.MF都删掉 或者解压apk到一个文件夹中进行修改并按照上述操作删除文件后,然后压缩成zip格式,压缩完成后把压缩文件后缀改为apk 打包apk 执行命令(需要配置好java环境,windows也可以直接执行) jarsigner -ve...
超全自动驾驶及车联网安全资料大合集.zip
05-24
资深车联网安全领域研究专家,精心汇编的全面的自动驾驶及车联网安全核心资料: 自动驾驶超全学习资料包 国家车联网产业标准体系建设指南 车联网(智能网联汽车)产业发展行动计划 车联网安全护方案 车联网安全...
ATT&CK-车联网安全.xlsx
11-17
ATT&CK-车联网安全
2021年10月 【腾讯】车联网数据安全体系建设指南.pdf
10-25
"车联网数据安全体系建设指南" ...车联网数据安全体系建设需要从合规性、泄露、滥用、组织建设、制度体系建设、能力建设、数据脱敏和数据加解密等方面进行考虑和实施,以确保车联网数据的安全和隐私。
APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
车联网安全的攻与.pdf
08-11
安全的本质是病从“口”入 御的核心是平衡
车联网之边界安全.pdf
08-07
目录 车联网 车联网介绍 智能汽车趋势 车联网边界安全 车联网边界定义 车联网边界总览 车联网边界安全规范 安全监测介 实际案例 使用U盘黑掉一辆马自达 安吉星APP远程解锁汽车
Android-APK止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验
m0_64603929的博客
12-16 6113
private void hook(Context context) { try { DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode(“省略很长的签名 base64”, 0))); byte[][] bArr = new&n
安卓apk反编译、修改、打包签名全过程
热门推荐
dreamer2020的专栏
10-16 9万+
首先明确,反编译别人apk是一件不厚道的事情。代码是程序员辛苦工作的成果,想通过这种手段不劳而获,是不对的。这也说明,代码混淆是非常要的。本文抱着学习的态度,研究在一些特殊的情况下如果有需要,该怎么反编译apk。工具简介apktool,编译和反编译apk,从apk中提取图片和布局资源dex2jar,将可运行文件classes.dex反编译为jar源码文件jd-gui,查看jar源码文件反编译apk
一次简单的绕过apk签名校验
weixin_33910759的博客
06-02 772
朋友发来一个apk,需要分析其中的一些算法,分析过程涉及到了打包apk打包后的apk运行失败,估计是apk内部有检验是否被篡改的代码。检验apk是否被篡改,简单的方法是直接校验签名,如果apk签名和预先设置的签名不同,则可以判定apk篡改了。 获取签名函数: getPackageInfo 尝试在代码里查找此函数,找到好几处,每个地方都查看了一下,最后定位到如下代码: public st...
burp抓不到手机app请求包
None安全团队
12-28 5650
今天来讨论一个APP安全渗透测试及漏洞挖掘中遇到的一个问题,相信也会有很多师傅在挖掘漏洞中遇到以下的几种令人抓头的场景,前不久挖掘一个app又遇到了以前都遇到过此类问题,决定在此总结一下: 等等。 一般情况下在对APP测试时burp抓包需要配置代理和下载安装burp的客户端证书才可以正常的进行下一步测试,但是在HTTPS信任机制和APK自有的安全机制下测试时或许就不是那么容易了,经常会出现网络错误、抓不到包、丢包,无法正常发送请求等情况。主要可以归结为:IOS/安卓系统的固有的信任机制问题,另一
绕过小程序签名验证
06-16 1359
在一些关键业务接口通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步漏洞检测。 微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到参数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。 01、常见签名算法 首先呢,我们需要注意的是,加密和签名是两回事,加密是为了止信息泄露,而签名的目的是止数......
基于LTE的车联网无线通信技术 安全证书管理系统技术要求(报批稿).pdf
07-10
V2X车联网技术文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值