android 如何绕过签名校验

最新推荐文章于 2024-05-16 05:36:28 发布
最新推荐文章于 2024-05-16 05:36:28 发布
阅读量6.1k 收藏 32
点赞数 9
分类专栏: Android 知识 文章标签: android 签名校验 hook 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deaht_Huimie/article/details/107663963
版权


上一章我们说了签名的一些基本信息,这一章说说它的用法。我们知道 android 存在二次打包的现象,这样可以篡改一些功能,所以部分app会在一些重要功能或者接口请求或者程序的入口的地方使用签名校验,校验下 SHA1 或 MD5 等信息,看看是否是自己原始的签名,如果不是,则强制程序退出。这个属于安全防御,自然有盾就有矛,现在就探讨一下怎么绕过签名校验,也就是常说的 hook 。


所谓 hook ,也就是通过反射和动态代理,做一些常规做不到的操作,比如替换对象的属性值,或者拦截对象的方法等等,现在先说个简单的,比如 View 的点击事件,通常是 setOnClickListener() 设置个点击回调,如果这个 view 是三方的,并且已经被设置了点击事件,此时如果我们想统计它的点击次数怎么办?这时可以考虑反射了。

我们知道 View 的 点击事件

    public void setOnClickListener(@Nullable OnClickListener l) {
        if (!isClickable()) {
            setClickable(true);
        }
        getListenerInfo().mOnClickListener = l;
    }

    ListenerInfo getListenerInfo() {
        if (mListenerInfo != null) {
            return mListenerInfo;
        }
        mListenerInfo = new ListenerInfo();
        return mListenerInfo;
    }
    
    static class ListenerInfo {
        ...
        public OnClickListener mOnClickListener;
    }


看看 getListenerInfo() 是什么,它是个 ListenerInfo 对象,并且还是 View 的成员变量。由上面的这些信息,我们通过反射可以获取到这个属性值,然后进一步通过反射后去 ListenerInfo 里面的属性 mOnClickListener 的值,这样我们就拿到了 View 的点击事件的回调,我们这时候把点击回调包裹起来,重新赋值给 mOnClickListener 即可。好,上代码

    private void hookClick(View view) {

        try {
            // 得到 View 的 ListenerInfo 对象
            Method getListenerInfo = View.class.getDeclaredMethod("getListenerInfo");
            getListenerInfo.setAccessible(true);
            Object listenerInfo = getListenerInfo.invoke(view);
            // 得到 原始的 OnClickListener 对象
            Class<?> listenerInfoClz = Class.forName("android.view.View$ListenerInfo");
            Field clickListener = listenerInfoClz.getDeclaredField("mOnClickListener");
            clickListener.setAccessible(true);
            View.OnClickListener originOnClickListener = (View.OnClickListener) clickListener.get(listenerInfo);
            // 用自定义的 OnClickListener 替换原始的 OnClickListener
            View.OnClickListener hookedOnClickListener;
            if(originOnClickListener instanceof HookedOnClickListener){
                HookedOnClickListener listener = (HookedOnClickListener) originOnClickListener;
                hookedOnClickListener = listener.origin;
            } else {
                hookedOnClickListener = new HookedOnClickListener(originOnClickListener);
            }
            clickListener.set(listenerInfo, hookedOnClickListener);
        } catch (Exception e) {
        }
    }

    static class HookedOnClickListener implements View.OnClickListener {
        public View.OnClickListener origin;

        HookedOnClickListener(View.OnClickListener origin) {
            this.origin = origin;
        }

        @Override
        public void onClick(View v) {
            // 在这里添加自己想做的逻辑
            Toast.makeText(getApplicationContext(), "hook click", Toast.LENGTH_SHORT).show();
            if (origin != null) {
                origin.onClick(v);
            }
        }
    }


以上,就是一个简单的hook样例,这个是用反射来完成的。

InvocationHandler 及 Proxy 是动态代理,它里面的实现原理就是反射,封装了反射的代码,InvocationHandler 使用必须是接口才能调用。饶了这么一圈,才到了怎么hook签名这一步。 我们一般获取签名 SHA1 和 MD5 的方法如下

    public static String takeSHA1Finger(Context context) {
        PackageManager pm = context.getPackageManager();
        String packageName = context.getPackageName();
        int flags = PackageManager.GET_SIGNATURES;
        PackageInfo packageInfo = null;
        try {
            //获得包的所有内容信息类
            packageInfo = pm.getPackageInfo(packageName, flags);
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        }

        //签名信息
        Signature[] signatures = packageInfo.signatures;
        byte[] cert = signatures[0].toByteArray();

        //将签名转换为字节数组流
        InputStream input = new ByteArrayInputStream(cert);

        CertificateFactory cf = null;
        try {
            cf = CertificateFactory.getInstance("X509");
        } catch (Exception e) {
            e.printStackTrace();
        }
        X509Certificate c = null;
        try {
            c = (X509Certificate) cf.generateCertificate(input);
        } catch (Exception e) {
            e.printStackTrace();
        }

        String hexString = null;

        try {
            //加密算法的类 
            MessageDigest md = MessageDigest.getInstance("SHA1");
//            MessageDigest md = MessageDigest.getInstance("SHA256");
//            MessageDigest md = MessageDigest.getInstance("MD5");

            //获得公钥
            byte[] publicKey = md.digest(c.getEncoded());
            hexString = byte2HexFormatted(publicKey);
        } catch (Exception e) {
            e.printStackTrace();
        } 
        return hexString;
    }

    /**
     * 编码进行16 进制转换
     */
    public static String byte2HexFormatted(byte[] arr) {
        StringBuilder str = new StringBuilder(arr.length * 2);

        for (int i = 0; i <arr.length; i++) {
            String h = Integer.toHexString(arr[i]);
            int l =h.length();
            if (l == 1)
                h = "0" + h;
            if (l > 2)
                h = h.substring(l - 2, l);
            str.append(h.toUpperCase());
            if (i < (arr.length - 1))
                str.append(':');
        }
        return str.toString();
    }


比较关键的是 Signature[] signatures = packageInfo.signatures; 这行代码,签名的信息都存在这个里面,为了获取 App 的这个信息,我们也可以写个方法

    public static void getSignature(Context context) {
        try {
            PackageInfo packageInfo = context.getPackageManager().getPackageInfo(getPackageName(), PackageManager.GET_SIGNATURES);
            if (packageInfo.signatures != null) {
                return packageInfo.signatures[0].toCharsString();
            }
        } catch (Exception e) {
        }
        return null;

    }

打印后,会是一个长串的值

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


到这,基本就明白了。上面这个值决定了签名的值,那么我们只要想办法替换这个签名值就行了。一般二次打包用的都是自己的key,那么在这个地方返回自己的签名值就能把签名判断的问题给解决了,怎么返回呢?动态代理出场了。 

这个值是通过 getPackageManager() 获取的,那么我们只要想办法去改变 PackageManager 的方法返回值就行。了解 Activity 的启动跳转流程的朋友,应该都了解 ActivityThread 这个类,我们获取它的 sPackageManager 这个属性。为什么是它? Context 调用 getPackageManager() 方法,实际上调用了 ContextImpl 的 getPackageManager() 方法

    @Override
    public PackageManager getPackageManager() {
        if (mPackageManager != null) {
            return mPackageManager;
        }

        IPackageManager pm = ActivityThread.getPackageManager();
        if (pm != null) {
            // Doesn't matter if we make more than one instance.
            return (mPackageManager = new ApplicationPackageManager(this, pm));
        }

        return null;
    }


    // ApplicationPackageManager 类
    protected ApplicationPackageManager(ContextImpl context,
                              IPackageManager pm) {
        mContext = context;
        mPM = pm;
    }

    @Override
    public PackageInfo getPackageInfo(String packageName, int flags)
            throws NameNotFoundException {
        return getPackageInfoAsUser(packageName, flags, mContext.getUserId());
    }

    @Override
    public PackageInfo getPackageInfoAsUser(String packageName, int flags, int userId)
            throws NameNotFoundException {
        try {
            PackageInfo pi = mPM.getPackageInfo(packageName, flags, userId);
            if (pi != null) {
                return pi;
            }
        } catch (RemoteException e) {
            throw e.rethrowFromSystemServer();
        }
        throw new NameNotFoundException(packageName);
    }

从这一串代码中,可以看出最终调用的是 mPM.getPackageInfo(packageName, flags, userId) 这行代码,mPM 是 IPackageManager pm = ActivityThread.getPackageManager() 从这里来的,看看这个方法

    public static IPackageManager getPackageManager() {
        if (sPackageManager != null) {
            //Slog.v("PackageManager", "returning cur default = " + sPackageManager);
            return sPackageManager;
        }
        IBinder b = ServiceManager.getService("package");
        //Slog.v("PackageManager", "default service binder = " + b);
        sPackageManager = IPackageManager.Stub.asInterface(b);
        //Slog.v("PackageManager", "default service = " + sPackageManager);
        return sPackageManager;
    }


    
这里返回的就是  ActivityThread 中的 sPackageManager 这个属性。前因清楚了,那么就看看怎么替换它吧,老规矩,使用反射;动态代理也登场了,   

    public static void hookPMS(Context context, String signed){
        try{
            Class<?> activityThreadClass = Class.forName("android.app.ActivityThread");
            Method currentActivityThreadMethod =
                    activityThreadClass.getDeclaredMethod("currentActivityThread");
            Object currentActivityThread = currentActivityThreadMethod.invoke(null);
            // 获取 ActivityThread 里面原始的 sPackageManager
            Field sPackageManagerField = activityThreadClass.getDeclaredField("sPackageManager");
            sPackageManagerField.setAccessible(true);
            Object sPackageManager = sPackageManagerField.get(currentActivityThread);
            // 代理对象, 用来替换原始的对象
            Class<?> iPackageManagerInterface = Class.forName("android.content.pm.IPackageManager");
            Object proxy = Proxy.newProxyInstance(iPackageManagerInterface.getClassLoader(),
                    new Class<?>[] { iPackageManagerInterface },
                    new PmsHookInvocationHandler(sPackageManager, signed));
            // 1. 替换掉ActivityThread里面的 sPackageManager 字段
            sPackageManagerField.set(currentActivityThread, proxy);
            // 2. 替换 ApplicationPackageManager里面的 mPM对象
            PackageManager pm = context.getPackageManager();
            Field mPmField = pm.getClass().getDeclaredField("mPM");
            mPmField.setAccessible(true);
            mPmField.set(pm, proxy);
        }catch (Exception e){
        }
    }

上面是替换了 ActivityThread 和 PackageManager 中的 sPackageManager ,我们看看代理类的代码

public class PmsHookInvocationHandler implements InvocationHandler {

    private Object base;
    private String SIGN;

    public PmsHookInvocationHandler(Object base, String sign) {
        this.base = base;
        this.SIGN = sign;
    }

    @Override
    public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
        if("getPackageInfo".equals(method.getName())){
            String pkgName = (String)args[0];
            Integer flag = (Integer)args[1];
            if(flag == PackageManager.GET_SIGNATURES){
                Signature sign = new Signature(SIGN);
                PackageInfo info = (PackageInfo) method.invoke(base, args);
                info.signatures[0] = sign;
                return info;
            }
        }
        return method.invoke(base, args);
    }

}


hookPMS(Context context, String signed) 方法中的 signed 就是我们自己二次打包的签名值,可以先通过代码获取一下,这个值只与签名keystore有关。

今天涉及到的是逆向的基本知识点,我们使用逆向知识为了确保手机安全及技能提升,不是用于钻 App 的漏洞,不允许用于非法盈利及篡改别人的应用。
 

Death_Huimie
关注
  • 9
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
android内核模块签名,内核模块签名--命令行
weixin_39769703的博客
05-31 815
依据 scripts/sign-file, 命令行签名模块及验证签名# 生成签名,密匙MOK_private.perm; 证书MOK.crt; DER格式证书MOK.deropenssl req -newkey rsa:4096 -nodes -keyout MOK_private.perm -new -x509 -sha512 -days 3650 -subj "/CN=my Machine O...
Android PackageManagerService源码分析和APK安装原理详解
路宇的博客
07-13 1297
mPM是系统中写的AIDL文件,通过mPM.getPackageInfo(),调用到代理对象Proxy类中重写的getPackageInfo()方法,代理对象又调用到PackageManagerService中的getPackageInfo()方法。首先通过adb install 输入包名后,一敲回车,会执行到commandline.c文件下的,adb_commandline()方法。1.静默安装,又叫无界面的安装,从各大手机厂商应用商店下载的APK,便是无界面的安装。
Android逆向分析实例(一)-绕过搜狗输入法的签名验证
最新发布
2401_84545497的博客
05-16 603
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Android逆向-签名认证绕过
qq_36918532的博客
09-02 2030
Android逆向-签名认证绕过 0x01 对APP重新打包并绕过签名验证 1.插桩的手段定位签名验证的关键点 ⚫ 首先尝试搜索字符串“signatures”,来查找和签名有关的函数或者方法。然后通过插桩的方式在含有字符串“signatures”的函数中插入Log日志信息,然后使用DDMS对app的运行进行监控,通过弹出Log日志的位置,来找出 app 出错的时执行到了哪个函数,以此来定位到签名验证的关键函数。 ⚫ 对上面含有“signatures”字符串的函数进行插桩,在这里我们插入Log日志信息,如下
Android签名验证——Hook签名第一步
lemisky的博客
08-29 3788
网上虽然很多Hook Android App 签名的方法,例如: 一键绕过App签名验证 一键破解APK签名校验 但是要想知道其中Hook的实现原理,并且能自己编写Hook实现,那么我们首先得知道以下几个问题: Android开发如何进行签名验证 Hook签名原理,及其实现 这篇文章先讲第一个问题——Android签名验证 由于网上相关文章比较多,这里就不赘术,仅提供核心代码 能研究这个...
Android 签名&校验
tq501501的博客
01-07 1717
Android 签名校验 签名校验Android 安全性中非常重要的一项。在build apk时或是制作OTA包时都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译时签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
Frida绕过APK的签名校验
飞得更高肥尾沙鼠
07-30 1607
如果代码被混淆,我们无法通过搜索关键字定位到签名校验代码位置,就需要使用firda进行hook定位。执行Application(attach,onCreate方法)android.content.Context保存应用环境信息。可以尝试使用签名关键字搜索或hook的方式去定位关键代码。执行MainActivity(onCreate方法)获取安卓系统信息和APP的信息。执行开屏界面Activity。Signature类。............
去APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序...总之,APK签名校验工具是开发和测试过程中不可或缺的辅助工具,它可以帮助开发者绕过签名验证,提高效率。但同时也需要谨慎使用,以保障应用的安全性和用户的隐私。
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
08-31
签名机制是Android系统用来验证应用程序完整性和来源的一种手段。本文主要探讨如何利用SHA1哈希算法进行安全校验,特别是在与第三方服务如百度地图API的集成中。 SHA1(Secure Hash Algorithm 1)是一种广泛使用的...
Android 13绕过系统分区的apk签名校验.zip
01-19
软件开发设计:PHP、QT、应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、...
实战android打包和签名
08-28
Android 打包和签名详解 Android 打包和签名Android 应用程序开发中不可或缺的一步。为了让开发者更好地理解 Android 打包和签名的过程,本篇文章将通过实例讲解如何对 Android 项目打包和签名,并详细解释每...
模拟器app闪退_【安卓逆向】去除xx银行app签名校验
weixin_39777497的博客
12-09 1624
点击蓝字默默关注首先,祝大家七夕快乐!(没有对象的我也很快乐)最近有个老同学联系到我 ,说有一家安全公司招聘(哪家公司我就不说了) 但是面试才刚开始就结束了因为第一题就被难着了。这我哪儿能忍,直接干!拿到app的时候我心凉了一下 ,这银行我搞个锤子,但是逆向工程师绝不认输!1.我们把“浦发银行app”拖到AndroidKiller里面进行反编译把编译之后的apk安装到模拟器中会闪退2.第...
无法验证驱动程序的签名_无法验证应用?掉签名打不开应用?没越狱也能解决!...
weixin_39619481的博客
12-03 961
【ID君有话说】 什么叫掉签名?苹果手机的app都是在App Store 下载的,但还有很多APP由于不符合苹果商店规则,或不喜欢被商店的规则束缚,选择通过企业签名可以让免越狱用户直接安装的应用。但是!企业签名最大的一个坏处就是动不动就掉签名!大概有些小伙伴不知道什么叫掉签名,我先来展示一下掉签名的效果图❤❤何为“掉签名”?无法验证应用,需要互联网连接以验证是否信任开发者“xx...
Android签名机制及PMS中校验签名
qq_34305735的博客
07-18 3103
一、签名机制众所周知,在Android系统中,应用想要安装到设备中,必须要有签名才行,及时是debug的时候,开发工具也会对要运行的应用自动签名,那么我们先来了解一下这个签名究竟是什么。 首先Android系统为了防止以安装的应用被篡改,推出来的签名自检机制,来维护应用的安全性,可以说,签名就是一个保护个人应用不受侵害的一种机制。而且这里面说道了自检,也就是说,在Android系统中,应用的
Android签名校验去除 PMSHook升级版
m0_47587308的博客
01-01 2062
拦截PackageInfo的创建过程,判断是否为目标程序,然后对生成的PI对象的signatures字段进行替换,即可完成签名校验的通过。使用方法:在软件入口处的构造函数中或者静态初始化去除调用KillPM函数即可,传入的参数第一个是包名,第二个是签名的charString。基本上可以绕过所有使用安卓自身API进行的校验,和之前的PMS代理不同,这种方式刚刚出现,被针对的少,因此过签强度更高。
绕过 iOS 代码签名验证 && ldid
Airths 的博客
10-24 2927
目录绕过 iOS 代码验证ldidHomebrew 绕过 iOS 代码验证 iOS 的代码验证分为 2 个环节: 签名验证,用于确认代码是经过苹果授权的 有效验证,用于确认代码没有被修改过 以下内容是基于 saurik 在 Cydia 中编写的一个文档,他文章的另一个版本的名称为:Bypassing iPhone Code Signatures 苹果要求 iOS 设备上的所有代码都要经过苹果的签名。这主要是为了让通过苹果应用商店(Apple App Store)下载和安装的 App 不能再下载和运行未经
为手机添加自己的应用签名验证
大海蓝天的专栏
11-20 869
1、准备条件:校验文件:signCer.cer2、在services/java/com/android/server/pm/PackageManagerService.java中的installPackageLI中找适当位置加入验证内容。try {    Slog.d(TAG, tmpPackageFile.getPath() + " check signed start ...");    Ch
android8 avb检验,android avb(Android Verified Boot)验证
weixin_29091445的博客
05-28 2726
原文:https://android.googlesource.com/platform/external/avb/+/master/README.md#The-VBMeta-structavb的作用验证程序用来保护用户使用软件在设备上运行的完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在密码验证代码是真实的且没有任何已知的安全缺陷之后执行。AVB是经过验证的引导的一种实现。The V...
一键绕过App签名验证
热门推荐
XXOOYC的专栏
12-11 1万+
Hook了PackaegManager,返回我们指定的签名 地址:https://github.com/xxxyanchenxxx/SigKill
android 签名校验
06-07
Android 签名校验是指在 Android 应用安装时,检查应用是否被篡改或者来自于可信的开发者。每个 Android 应用都必须使用数字证书进行签名,以确保应用的完整性和安全性。 在 Android 应用安装时,系统会检查应用的数字证书是否与系统中已知的证书相匹配。如果证书不匹配或者证书无效,系统会提示用户应用可能不安全,并且要求用户确认是否继续安装。 开发者可以使用 Android Studio 或者命令行工具对应用进行签名签名过程中,开发者需要提供一个私钥和一个证书,用于对应用进行数字签名签名完成后,开发者需要将证书发布到公共信任机构,以确保应用被认为是可信的。 总之,Android 签名校验Android 系统保证应用安全性的重要措施之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值