apk完整性校验-防反编译

最新推荐文章于 2024-07-22 10:27:05 发布
最新推荐文章于 2024-07-22 10:27:05 发布
阅读量1.9k 收藏
点赞数
文章标签: android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GB1183710114/article/details/128441486
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

为了防止apk被恶意反编译、篡改、二次开发,我们在安装apk程序的时候,系统需要对apk做完整性校验,目前主流的完整性校验包括客户端打包校验、crc32文件校验和apk自身完整性校验。

提示:以下是本篇文章正文内容

一、客户端打包校验

这种校验方式,只能校验打包的key值一致性,如果反编译篡改用相同密钥进行打包签名则无法校验,所以存在局限性.

步骤一、
事先拿到apk签名key值的SHA1(证书指纹),通过输入命令:keytool -v -list -keystore 文件路径.jks,这里的文件路径就是指向你的key的一个文件路径.
步骤二、
在代码里获取apk签名key值的SHA1(证书指纹)

public static String sHA1(Context context) {
    try {
        PackageInfo info = context.getPackageManager().getPackageInfo(
                context.getPackageName(), PackageManager.GET_SIGNATURES);
        byte[] cert = info.signatures[0].toByteArray();
        MessageDigest md = MessageDigest.getInstance("SHA1");
        byte[] publicKey = md.digest(cert);
        StringBuffer hexString = new StringBuffer();
        for (int i = 0; i < publicKey.length; i++) {
            String appendString = Integer.toHexString(0xFF & publicKey[i])
                    .toUpperCase(Locale.US);
            if (appendString.length() == 1)
                hexString.append("0");
            hexString.append(appendString);
            hexString.append(":");
        }
        String result = hexString.toString();
        return result.substring(0, result.length()-1);
    } catch (PackageManager.NameNotFoundException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    }
    return null;
}

步骤三、
校验两个key之的SHA1(签名指纹)

/**
     * 和key的签名文件对比
     * @param s
     */
    private void compare(String s){
        if (!s.equals("你获取的SHA1")){
            killAppProcess();
        }
    }
    /**
     * 杀死进程
     */
    public void killAppProcess()
    {
        //注意:不能先杀掉主进程,否则逻辑代码无法继续执行,需先杀掉相关进程最后杀掉主进程
        ActivityManager mActivityManager = (ActivityManager)LoadingActivity.this.getSystemService(Context.ACTIVITY_SERVICE);
        List<ActivityManager.RunningAppProcessInfo> mList = mActivityManager.getRunningAppProcesses();
        for (ActivityManager.RunningAppProcessInfo runningAppProcessInfo : mList)
        {
            if (runningAppProcessInfo.pid != android.os.Process.myPid())
            {
                android.os.Process.killProcess(runningAppProcessInfo.pid);
            }
        }
        android.os.Process.killProcess(android.os.Process.myPid());
        System.exit(0);
    }

二、crc32文件校验

apk主要的逻辑功能都是通过classes.dex文件实现的,所以对classes.dex文件进行完整性校验,可以防止apk被逻辑篡改.
步骤一、运行以下程序先打印出完整的.dex文件的crc32值.
步骤二、将正确的crc32值储存在资源文件字符串里classesdex_crc,或者服务器存储crc32值.
步骤三、再次运行以下程序,判断apk的crc32值是否正确.正确则打印log:Dex hasn't beenmodified! ,否则log:Dex has beenmodified!

public class MainActivity extendsActivity {
 
@Override
 
protected void onCreate(BundlesavedInstanceState) {
 
     super .onCreate(savedInstanceState);
 
     setContentView(R.layout.activity_main);
 
     String apkPath = getPackageCodePath();
 
     Long dexCrc = Long.parseLong(getString(R.string.classesdex_crc));
 
     try
 
     {
 
         ZipFile zipfile = new ZipFile(apkPath);
 
         ZipEntry dexentry = zipfile.getEntry( "classes.dex" );
 
         Log.i( "verification" , "classes.dexcrc=" +dexentry.getCrc());
 
         if (dexentry.getCrc() != dexCrc){
 
         Log.i( "verification" , "Dexhas been modified!" );
 
         } else {
 
         Log.i( "verification" , "Dex hasn't been modified!" );
 
         }
 
     } catch (IOException e) {
 
      // TODO Auto-generated catch block
 
      e.printStackTrace();
 
     }
 
    }
 
}

三、apk自身完整性校验

对整个apk进行完整性校验,所以对apk生成的哈希值SHA1不能储存在资源文件中,需要储存在服务器或其它地方.
步骤一、先在linux下计算出正确的apk_hash值,用sha1 sum命令,sha1sum verification.apk
步骤二、将步骤一生成的apk_hash值储存在服务器上,之后每次运行程序都用该apk_hash值和服务器取出的正确的hash值比较.

程序生成和比较hash值代码:

public class MainActivity extendsActivity {
 
@Override
 
protectedvoid onCreate(Bundle savedInstanceState) {
 
      super .onCreate(savedInstanceState);
 
      setContentView(R.layout.activity_main);
 
      String apkPath = getPackageCodePath();
 
      MessageDigest msgDigest = null ;
 
      try {
 
         msgDigest = MessageDigest.getInstance( "SHA-1" );
 
         byte [] bytes = new byte [ 1024 ];
 
         int byteCount;
 
         FileInputStream fis = new FileInputStream( new File(apkPath));
 
         while ((byteCount = fis.read(bytes)) > 0 )
 
         {
 
             msgDigest.update(bytes, 0 , byteCount);
 
         }
 
         BigInteger bi = new BigInteger( 1 , msgDigest.digest());
 
         String sha = bi.toString( 16 );
 
         fis.close();
 
         //这里添加从服务器中获取哈希值而后进行对比校验
 
         } catch (Exception e) {
 
             e.printStackTrace();
 
         }
 
     }
 
}
KKKKKung
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
乐固APK加固工具 LEGUPC-V2.0.6
01-04
5. **篡改检测**:内置完整性校验机制,一旦检测到APK被篡改,立即停止运行,确保应用的完整性。 6. **权限控制**:对敏感操作进行权限控制,限制非法调用,止恶意代码的植入和利用。 7. **安全启动**:在应用...
Android完整性校验
Juns_619930524的博客
06-29 3187
一、完整性校验原理 所谓完整性校验就是我们用各种算法来计算一个文件完整性止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在apk反编译的方法中也可以采用这种方法。我们知道apk生成的classes.dex主要由java文件生成的,它是整个apk的逻辑实现。所以我们可以对classes.dex文件进行完整性校验,来保证整个程序的逻辑不被修改
Android客户端代码保护技术-完整性校验
Liyunlong
09-21 1万+
由于Android系统固有的缺陷、Android应用分发渠道管理机制等问题,导致Android客户端程序很容易被反编译篡改/二次打包,经任意签名后可在各个渠道或论坛中发布,这不仅损害了开发者的知识产权,更可能威胁到用户的敏感信息及财产安全,因此客户端程序自身的安全性尤为重要,本文以客户端完整校验为主题,提供几种Android客户端完整性校验的实现思路,供广大开发者参考。思路1:对classes.d
灵魂一问,如何彻底反编译?(1)
2401_83641491的博客
05-10 761
主要步骤 用加密算法对源程序APK进行加密,再将其与壳程序APK的DEX文件合并生成新的DEX文件,最后替换壳程序中的原DEX文件即可。得到新的APK也叫做脱壳程序APK,它已经不是一个完整意义上的APK程序了,它的主要工作是:负责解密源程序APK,然后加载APK,让其正常运行起来。 在这个过程中需要了解的知识是:如何将源程序APK和壳程序APK进行合并 这需要了解DEX文件的格式,下面简单介绍一下: 现在只要关注其中三个部分:我们需要将加密之后的源程序APK文件写入到DEX中,那么就需要修改checks
APP被修改检测探索
NIIIICO的博客
11-24 1057
现在市面上,诸如:MT管理器、APK Editor等软件,可以对APK文件进行修改,提取AndroidManifest文件,修改包名、版本号、图标、应用名称等。通过修改版本号,可以跳过应用升级检测,从而出现新版本修复的漏洞无法修复的情况;还会造成新功能无法使用,新推广的业务无法正常展开。
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 3832
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,止被重签名和二次打包(采用混淆、验证签名、服务器端验证等技术范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名。
APP安全之APK完整性校验
热门推荐
fuchenxuan blog
05-22 1万+
APP安全之APK完整性校验前言 APK 完整性校验,虽然很难做到绝对的安全,但能提高应用的安全性和破解难度。 一、认识APK安全性危害可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息二、完整性校验原理完整性校验的几种方式 CRC校验 MD5值校验 SHA1值校验 常见android完整性检测 检测签名 校验classes.dex 校验整个apk 检测
apk应用完整性校验
xianjie0318的博客
07-12 699
java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径 用 SignApk,对未签名的 APK 文件进行签名,命令如下: java -jar signapk.jar testkey.x509.pem testkey.pk8 待签名 apk 文件路径 签名后输出 apk 路径。用 ApkTool,将解包目录重新打包成未签名的 APK 文件,命令如下: java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径。
apk加固插件 带签名校验、dex加密、资源混淆
01-02
Android系统中,每个APK文件都需要通过数字签名来确认其来源和完整性。签名验证确保了APK未经篡改,并且只有信任的开发者才能安装和更新应用。这个插件包含签名校验功能,意味着它会检查APK的签名信息,止未...
Android系统安全和反编译实战源码
11-26
1. APK反编译APKAndroid应用的打包格式,可以被反编译Java源代码或Smali(Dalvik字节码的汇编语言)。常用的工具有dex2jar、JD-GUI和Apktool。 2. 代码混淆:通过重命名类和方法、打乱代码顺序来增加逆向工程...
安卓app逆向与安全护PPT.rar
12-13
- **签名机制**:了解APK的签名过程,以及如何验证APK完整性和来源。 - **签名伪造**:讨论签名的篡改和范措施,止应用被篡改后仍能正常安装。 7. **安全编码实践** - **输入验证**:对用户输入进行严格的...
virboxprotector_2.0版免费试用版-支持APK加固
03-23
在应用启动时,对内存进行完整性校验,可以有效文件补丁、恶意代码植入、二次打包等恶意篡改应用行为。 深思iOS应用加固安全技术 代码虚拟化 将原始代码编译为动态的 VM 虚拟机指令,运行在虚拟机之上。加密后...
Android APK 签名校验
dk_work的博客
04-09 7571
非对称加密算法 非对称加密算法需要两个密钥:公开密钥(简称公钥)和私有密钥(简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密;如果用私钥对数据进行加密,那么只有用对应的公钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法是数字签名和数字证书的基础,大家非常熟悉的RSA就是非对称加密算法的一种实现。 消息摘要算
Android APP应用完整性检查
SunJ3t的菠萝屋
08-09 5153
1. 前言 APK应用完整性即移动客户端程序安装后,在每次启动时都会对自身文件进行完整性进行校验止攻击者通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。 2. APK应用完整性检查 1. 使用Apktools反编译APK文件 进入apktool文件夹下,输入以下命令,反编译apk文件 apktool d xx...
7.4 反编译、篡改漏洞检测和重现
qq_55202378的博客
08-21 1000
安卓反编译
Android APK文件完整性验证
q1165328963的博客
09-01 1210
APK完整性校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
APP攻--安卓反编译
qq_53003652的博客
11-02 504
在最近的工作中一直在接触APP测试,给大家分享下个人的一些经验,水平有限,大佬勿喷。首先APP攻是要学会反编译的,大概有如下几种方式。
Android DataBinding从入门到精通
最新发布
Dream的博客
07-22 1092
DataBinding可以更加方便的编写与视图交互的代码。即系统会为模块中的每个xml文件生成一个绑定类,其实例包含指向相应布局中具有ID的所有视图的直接引用。大多数情况下,DataBinding会代替findMyId。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值