android apk v1 签名验证分析

最新推荐文章于 2024-05-14 20:00:38 发布
最新推荐文章于 2024-05-14 20:00:38 发布
阅读量1.3k 收藏
点赞数
分类专栏: 移动开发 文章标签: android 签名 META-INFO apk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JT_Notes/article/details/82852488
版权
本文详细介绍了Android APK的V1签名验证过程,包括MANIFEST.MF、ANDROIDR.SF和ANDROIDR.RSA三个文件的作用及内容分析,以及如何通过SHA1运算和Base64编码来验证APK的完整性。
摘要由CSDN通过智能技术生成

作者:jafon.tian

转载请注明出处:https://blog.csdn.net/JT_Notes

Android的应用包格式具有防篡改,防重打包的能力,这是如何做到的?秘密就隐藏在META-INF文件夹中,下面通过QQ安装包的分析来进行详细的说明和分析。

1. 准备
1 QQ官网下载Android安装包mobileqq_android.apk
2 将安装包后缀由apk改为zip,使用解压软件释放中其中的文件
3 将其中的META-INF文件夹拷贝出来,用于后续分析

  META-INF/

    --ANDROIDR.RSA

    --ANDROIDR.SF

    --MANIFEST.MF

2. 文件分析

名称 说明
MANIFEST.MF 包含了除META-INFO目录外所有文件的路径和hash结果
ANDROIDR.SF 对MF整个文件和里面每个条目进行了二次hash
ANDROIDR.RSA 包含开发者证书以及使用开发者私钥对SF文件的签名

文件之间的逐层保护关系为 RSA文件–>SF文件–>MF文件–>应用其他文件

2.1 MANIFEST.MF文件

下面截取文件头部的片段进行说明,除了文件头,其他文件内容都遵循相同的规则。

Manifest-Version: 1.0

Name: AndroidManifest.xml
SHA1-Digest: 8tS1gpP+QbotpYp6jN1PCfulDbU=
名称 说明
Manifest-Version: 1.0 Manifest版本信息,应该是用于日后扩展使用
Name: AndroidManifest.xml
SHA1-Digest: 8tS1gpP+QbotpYp6jN1PCfulDbU=		 Name字段指明应用文件全路径
SHA1-Digest字段指明使用的hash算法是SHA1以及计算结果的base64编码

SHA1-Digest计算过程:

  1. 对文件AndroidManifest.xml的进行SHA1运算,结果用16进制字符串表示为:

      f2d4b58293fe41ba2da58a7a8cdd4f09fba50db5
  2. 将16进制字符串进行base64编码的结果为:

      8tS1gpP+QbotpYp6jN1PCfulDbU=

2.2 ANDROIDR.SF文件

下面截取文件头部的片段进行说明,与MF文件类似,除了文件头,其他文件内容也是遵循相同的规则。

Signature-Version: 1.0
Created-By: 1.0 (Android)
SHA1-Digest-Manifest: ouJT4yGiaaiMea/Wu6708IP44P4=
X-Android-APK-Signed: 2

Name: AndroidManifest.xml
SHA1-Digest: lu99E667G2n1uJJ2nDaMFNZLEmE=
名称 说明
Signature-Version: 1.0
Created-By: 1.0 (Android)
X-Android-APK-Signed: 2		 版本信息
SHA1-Digest-Manifest: ouJT4yGiaaiMea/Wu6708IP44P4= 对MANIFEST.MF整个文件进行hash运算结果的base64编码形式,hash运算采用SHA1算法
Name: AndroidManifest.xml
SHA1-Digest: lu99E667G2n1uJJ2nDaMFNZLEmE=		 Name字段指明应用文件全路径
SHA1-Digest字段是对SF中对应字段内容的hash运算结果,详细见下文说明

SHA1-Digest-Manifest计算过程:

  1. 对文件MANIFEST.MF进行SHA1运算,结果的16进制字符串表示为:

      a2e253e321a269a88c79afd6bbaef4f083f8e0fe
  2. 将16进制字符串进行base64编码的结果为:

      ouJT4yGiaaiMea/Wu6708IP44P4=

SHA1-Digest计算过程:

  1. 在MANIFEST.MF文件中找到具有相同Name字段的内容。

在MANIFEST.MF文件中找到Name字段为AndroidManifest.xml的条目



Name: AndroidMani

最低0.47元/天 解锁文章
JT_Notes
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android v2签名机制,APK签名机制之——V2签名机制详解
weixin_30773813的博客
05-28 2549
通过前一篇Apk签名机制之——JAR签名机制详解的分析我们知道,JAR签名需要对apk内所有文件进行hash校验,当资源较多时签名验证速度较慢。为了加快验证速度并加强完整性保证,Andorid在7.0引入一种全文件签名方案V2。下面来看V2方案的具体设计原理。1. V2签名设计思想在了解V2签名结构前,先来了解下zip(apk)文件的结构。1.1 ZIP文件结构zip包结构zip文件分为3部分:数...
APK 签名v1 v2 v3 v4
weixin_46569059的博客
09-15 1万+
通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名Apk,则会被拒绝安装。 在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。 简单来说,APK签名主要作用有两个: 证明 APK 的所有者。 允许 Android 市场和设备校验 APK 的正确性。
Android APK代码签名分析
arlaichin的专栏
03-06 2353
Android通过对APK的代码签名,达到了以下目的: 1 保证了APK数据包的完整性 2 通过比对签名证书,避免有害程序仿冒已安装的程序,进行恶意更新替换 3 通过签名证书,识别开发者的身份,并赋予特定的权限。
一篇文章看明白 Android v1 & v2 签名机制
jeanboy
12-06 2万+
Android - v1 & v2 签名机制 一、什么是签名? 要想知道签名是什么,先来看为什么需要签名 ? 了解 HTTPS 通信的同学应该知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。在安装 APK 时,同样需要确保 APK 来源的真实性,以及 APK 没有被第三方篡改。如何解决这两个问题呢?方法就是开发者对 APK 进行签名:在 A...
深入探索Android签名机制:从v1到v3的演进之旅
最新发布
w风雨无阻w的专栏
05-14 1141
消息摘要(Message Digest)是一种通过单向散列算法对任意长度的数据进行计算并产生固定长度的小型摘要信息(又称哈希值或指纹)的技术。(1)、消息摘要主要特点压缩性:无论输入的数据有多大,计算出来的消息摘要的长度都是固定的,通常为128位或更长。易计算:给定需要计算摘要的数据,非常容易计算出消息摘要。隐行性:相同的输入必定得到相同的输出,但反过来,由输出极其困难推导出输入值。抗碰撞:理论上不可能找到两个不同的输入计算出相同的消息摘要。常见的消息摘要算法有:MD5、SHA-1、SHA-256等。
Android系统安全 — 5.2-APK V1签名介绍
qincheng168的博客
07-22 1766
APK V1签名介绍
android-APK系统签名文件.rar
06-17
1. **V1签名(JAR签名)**:使用Java的JAR签名机制,只检查APK的原始内容,不包含任何apk的元数据信息,如AndroidManifest.xml。 2. **V2签名APK Signature Scheme v2)**:Android 7.0(API级别24)引入,签名...
AndroidAPK签名工具之jarsigner和apksigner详解
01-05
不管是apk包,还是jar包,本质都是zip格式的压缩包,所以它们的签名过程都差不多(仅限V1签名), 以上两个工具都可以对Android apk包进行签名. 1.V1和V2签名的区别 在Android Studio中点击菜单 Build->Generate signed ...
apkverifier:Go中的APK签名验证。 支持方案v1,v2和v3,并通过了Google apksig的测试套件
05-08
APK签名验证应支持所有算法以及方案v1和v2,包括降级攻击保护。 适用于Go 1.9或更高版本。 上的 go get github.com/avast/apkverifier 供应商的东西 由于Android甚至可以处理破碎X509 cerficates和ZIP文件,...
Android V1&V2重签名工具(win)
11-27
V1签名是在APKMETA-INF目录下放置签名文件,然后通过签名工具验证。 随着Android系统的发展,V2签名(也称为APK Signature Scheme v2)在Android 7.0(API级别24)中引入,旨在提供更快的应用更新检查和更好的...
android 对于apk签名汇总
12-15
Android支持两种签名方案:V1(JAR签名)和V2(APK Signature Scheme v2),以及后来推出的V3(APK Signature Scheme v3)。V1是基于传统的Java JAR签名,使用SHA-1或更强的散列算法和RSA公钥加密。V2签名则是在APK...
Android开发之签名V1和V2的区别
热门推荐
FrancisBingo的博客
11-28 3万+
在我们使用Android studio打包签名的时候可以选择两种签名方式。如下图 对于V2的官网解释如下 官网地址:https://android-developers.googleblog.com/2016/11/understanding-apk-packaging-in-android-studio-2-2.html 大致翻译一下: 1.用于验证其完整性的
android apk sha1验证,2019-05-03 Android程序内获取APK SHA1证书,验证APK 签名(防篡改)...
weixin_32175665的博客
05-28 355
验证APP的签名(防篡改)Android 安全的基石之一是所有的APP都必须经过数据签名。准备工作keytool -genkey -v -keystore myapp.keystore -alias Myapp -keyalg RSA -keysize 2048 -validity 10000image.png查看keystore的MD5 及SHA1keytool -list -v -keysto...
Android签名机制之---签名过程详解
weixin_30652879的博客
12-25 965
一、前言又是过了好长时间,没写文章的双手都有点难受了。今天是圣诞节,还是得上班。因为前几天有一个之前的同事,在申请微信SDK的时候,遇到签名的问题,问了我一下,结果把我难倒了。。我说Android中的签名大家都会熟悉的,就是为了安全,不让别人修改你的apk,但是我们真正的有了解多少呢?所以准备两篇文章好好介绍一下Android签名机制。在说道Android签名之前,我们需要了解的几个知识点1...
Android signed APK程序正式签名方法详解
乱789之积累
08-28 425
Android程序的签名用户在开发时通过ADB接口上传的程序会自动被签有Debug权限的程序,但是在上传程序到Android Market上或者到设备上时则需要正式签名Android signed制作方法主要使用Keytool和Jarsigner两个工具制作,具体方法如下: 详细的签名步骤:第一步 生成个人签名密钥库基础数据用keytool生成证书: -alias myandroid 证书别名,...
android apk 安装流程 验签过程初步了解
dp__mcu的专栏
08-26 697
1.通过.RSA文件的名字找到对应的.SF文件, 然后在获取MANIFEST.MF文件和.RSA文件,到这里三个文件就都拿到了。 拿到三个文件数据后,会调用verifySignature方法, 这个方法, 参数是.SF文件和.RSA文件的内存流对象; 这个方法中通过用X509文件解析了.RSA文件, 这个方法最终的目的是获取到RSA文件中的证书; 然后同.SF文件的数据进行对比,如果不相同会抛出异常: 即通过rsa的公钥文件 验证 .SF签名文件的合法性 openssl pkcs7 -inform DER
Android APK 签名、打包笔记
做一个苦行僧的专栏
06-08 4922
我们知道,一款Android 要发布的话,必须经过签名Android目前支持的签名方式包括三种: v1 方案:基于JAR签名。 v2 方案:APK 签名方案 v2(在 Android 7.0 中引入)。 v3 方案:APK 签名方案 v3(在 Android 9 中引入)。 为了最大限度地提高兼容性,请按照 v1、v2、v3 的先后顺序采用所有方案对应用进行签名。与只通过 v1 方案签名...
Android V1签名与校验原理分析(全网最全最详细)
逍遥阁
07-21 3727
【前言】      Android Apk V1签名方式是一开始时使用的签名方案,不过V1签名方式也称作jar签名,顾名思义,就是V1签名并不是Android独有的签名方式,而且在Android还没出来时候,Jar 包也是用这种方式进行签名检验的,直到Android 7.0开始才推出V2签名,这个就是Android独创的签名方案,签名与校验的效率方面提高很多,后面Android 9.0又推出了V3签名,再到Android 11推出了V4签名方案 一、V1
Android APK 签名打包原理分析
09-09
APK安装到Android手机时,系统会使用证书中对应签名私钥的公钥来验证APK是否被更改过。如果没有被更改过,则可以安装在手机上。值得注意的是,默认的debug.keystore证书是不安全的,任何app store都不允许使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值