Android apk安全测评、应用加固、字节对齐、二次签名(有这一篇就够了)

最新推荐文章于 2024-04-13 00:17:08 发布
最新推荐文章于 2024-04-13 00:17:08 发布
阅读量3k 收藏 8
点赞数 4
分类专栏: apk安全测评 apk应用加固 apk签名、二次签名 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_35559769/article/details/111355517
版权

本文将通过前言、apk安全测评、应用加固、字节对齐、二次签名、总结共6大版块来阐述

一、前言

评判一个App是否出色,除了看它的性能、体验外,本人认为最为重要的是它的安全性。市面上apk安全评测、加固、二次签名的软件不少,但本人比较喜欢也经常使用的是腾讯云。本文也将以腾讯云 — 移动应用安全的使用为开端,按步骤详细阐述后续4大版块的使用流程。

二、apk安全测评

apk安全测评、应用加固都是通过腾讯云 — 移动应用安全来实现的。由于腾讯云早前下架了“乐固”,导致现在只能通过网页端在线实现上述功能。“乐固”这款软件,集成了包括安全测评、加固、对齐、二次签名的所有功能,但至于为什么下架该款软件,我也不得而知。网上有很多第三方的下载地址,不是很建议去下载安装,会有很多捆绑软件,软件是否被篡改也不得而知。

第一步肯定要登录:点击跳转登录页

登录成功后,按照下图所示,依次点击红框标识的1、2:
安全评测
选择需要上传的apk文件,上传成功后显示如下图所示界面,点击“确认测评”按钮后并等待一段时间(apk越大时间越长,需要耐心等待)。测评结束会显示测评结果,可以在结果中查看该应用存在的漏洞风险(会在漏洞风险展示页详细显示所有可能存在的风险,并标明了风险等级和代码修改建议,这点本人比较喜欢)。
确认测评

三、应用加固

如下图所示,依次点击红框标识的1、2,按照步骤选择完apk文件并等待加固完成后,会在下方列表展示加固结果信息:
应用加固
查看加固结果如下图所示,在图中可以看到,下载的加固包需要重新签名,否则该加固包是不能够安装的。如何二次签名,继续往下看。
加固结果1

四、字节对齐

字节对齐的好处是帮助操作系统更高效率的根据请求索引资源,降低内存消耗
Android SDK自带字节对齐工具zipalign,二次签名前,最好先进行字节对齐操作(一般为4字节对齐)。虽然Android Studio打包的apk是默认经过字节对齐的,但是由于经历过应用加固步骤,不能保证该应用中的数据还处于对齐状态,以防万一,再进行一次字节对齐操作。当然,不进行字节对齐操作也是可以的,应用还是可以正常使用的。

进行字节对齐的步骤如下所示(下面提到的apk文件操作都是上文中下载的加固包):

  1. 修改apk文件的后缀名为 .zip(其它压缩格式也可以,主要是为了用压缩软件打开该文件),修改完成后打开该文件,删除下图中红框选中的“META-INF”文件夹(该文件夹经过应用加固后,签名信息已经被删了,多了一些杂七杂八的文件,没什么用。如果不删除该文件夹,后续二次签名就无法成功);
    安装包的文件
  2. 删除成功后,将该文件的后缀名重新改为 .apk
  3. 将该文件复制到zipalign工具所在目录;
    build版本
    该工具位于sdk\build-tools\build版本目录下,本人选取的build版本为29.0.3
    zipalign工具目录
    上图所示,红框1中的zipalign.exe即为字节对齐工具,将需要对齐的apk文件放到该工具的同级目录下,例如上图红框2所示。
  4. 键盘Win+R,输入cmd,打开命令提示窗口,cd到压缩工具所在目录;
    cd
  5. 继续输入zipalign.exe -v -p 4 input.apk output.apk(命令中的input.apk为需要对齐的apk文件名,output.apk为对齐完成后输出的apk文件名);
    对齐开始
    中间省略一大段运行中输出的代码…
    对齐结束
    如上图所示,运行结束,出现红框中的代码,表示字节对齐成功,同时可以在目录中看到多了个字节对齐成功后的apk文件,如下图所示:
    对齐成功输出

五、二次签名

签名工具SDK也是自带的,apksigner。该工具位于字节对齐工具同级目录lib的下一级,如下图所示:
签名工具目录
上图红框1即为签名工具,红框2为第4版块中字节对齐输出的apk文件,红框3为该apk文件的签名文件。(红框2、3表示的文件需要跟签名工具在一级目录下)
接着,继续在命令提示窗口中依次输入:

cd lib

java -jar apksigner.jar sign --ks key.jks --ks-key-alias releasekey output.apk

key.jks为签名文件,releasekey为签名文件的别名,output.apk为上图红框2所示的apk文件。例如下图所示:
签名
命令中的签名文件别名由于隐私原因,就隐藏了,大家替换成自己签名文件的别名即可。如果命令行输入没有任何问题,会在下方显示输入Keystore密码的指令,如上图最后一行所示Keystore password for signer #1: (这里需要注意:输入密码的时候命令提示窗口是不会有任何字符显示的,估计是为了隐私安全,输入完成后直接Enter就行了)。

签名成功,在命令提示窗口不会有任何提示;反之则有错误提示。只需查看目录中红框2的apk文件修改日期是否改变,例如下图所示:
签名成功的目录
时间较之前最初的,变成签名命令执行成功后的时间。想要确保签名成功,也可输入下述命令查看:

java -jar apksigner.jar verify -v output.apk

其中的output.apk为签名文件的文件名,例如上图中的test_align.apk,签名成功结果如下图所示:
签名查询

六、总结

至此,从安全测评到二次签名整一个流程就结束了。大家有什么问题可以提,本人看到后会在第一时间解答。

求知的程序猿
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android apk 安全措施详细说明(签名、混淆、加固、H5安全方案)
superzhang6666的博客
12-29 6050
文章简介:当一个Android app 开发完成后,我们总是希望对app进行一些安全措施,防止自己开发的apk被别人二次打包和签名上传到应用市场,同时防止apk被别人拿到之后进行反编译进行二次开发。那么我们应该都做哪些防护措施呢?下面来一一说明。 1、apk签名 打正式包之前,需要对apk进行签名,如果您是用Android Studio开发工具,那么打包、签名就非常简单了。具体怎么签名,网上文章很多,这里不做详细描述。那么我们重点说说为什么要对apk进行签名呢? (1)apk签名应用程序作者对apk进行
签名证书文件泄漏不要慌,Rotate signing带你无缝更换新签名
AndroidDeveloper的专栏
01-30 374
如果oldkey.jks 泄漏了,可以直接换一个新的签名newkey.jks,然后使用oldkey.jks和newkey.jks共同对新APK进行签名。(一)oldkey和newkey共同签名的包的签名MD5 和 oldkey签名MD5一致。1.oldkey签名的包可以被oldkey和newkey共同签名的包覆盖安装。(二)用新签名和旧签名一起生成一个沿袭签名(lineage key)2.共同签名的包和使用newkey.jks签名的包可以互相覆盖。1.共同签名的包不能被oldkey签名的包覆盖。
apk对齐优化,Android性能优化之APK优化,挥泪整理面经
最新发布
2401_84104460的博客
04-13 561
先了解apk的文件构造结构 一个程序员的故事:一个加密的故事:加壳是在原来apk的基础上加一层保护壳,dex文件修改了就需要重新打包,否则apk安装不了。这就需要我们详细学习apk如何打包的加固的目的是保护dex,直接而言就是对dex文件进行操作,对dex文件动刀子,必须知道dex文件是什么,能否直接动刀子加壳后的文件是不能直接用的,dex文件是加密的,所以我们需要对他进行解密,解密后的dex文件如何加载? 那么问题来了: :以Proguard的方式手动加入要放到的Main.dex中的类 自我
腾讯二次签名工具
08-25
二次签名进行加密处理
Android APK二次签名
简简单单,仔仔细细,只是一个开发者
03-26 1837
内置调度器 singgle:长度为1的线程池,会重复使用 newThread:每次开启新的线程 computation:使用固定线程池,大小为CPU核数,适用于CPU密集型线程 io:使用于I/O操作的线程,比如文件、数据库读写和网络操作。行为模式和newThread差不多,区别在于内部是一个数量上限的线程池,可以重复利用线程,在大多数情况下,I/O线程比newThread更有效率,还支持异步...
二次打包签名apk(android)
Song
11-04 1947
第一次写博客,有点紧张,不过没关系,每天记录自己的技术。     今天运营部上传360应用市场的时候失败,结果我跟他们沟通,得知上传到360需要经过他们的加固。也就是说再360应用市场加固之后返回的apk给我们,让我们再次签名才给上传,否则上传不成功(绝逼是坑)。     二次签名打包步骤     第一步:需要删除apk包中的签名文件,META-INF(貌似用Android Stud
android app安全性测试,Android app安全性能测试
weixin_35940165的博客
05-27 295
Android app安全性能测试》由会员分享,可在线阅读,更多相关《Android app安全性能测试(2页珍藏版)》请在人人文库网上搜索。1、Android app安全性能测试1.安装包测试(1)能否反编译代码(源代码泄露问题):开发:对代码进行混淆;测试:使用反编译工具进行查看源代码,是否进行代码混淆,是否包括了显而易见的敏感信息(2)安装包是否签名(ios重app有正式的发布证书签名,不...
APK进行二次签名
liuhuanhuan517的博客
06-06 342
https://blog.csdn.net/z_Xiaozuo/article/details/78950768 运行: jarsigner -verify echat_ydbg_3.0.5_1226_sec.apk 查看APK有没有签名(注:echat_ydbg_3.0.5_1226_sec.apk为自己要加固的文件名称) 会看到 jar 未签名。(缺少签名或无法解析签名) 字样,说明缺...
android 安卓应用 防二次打包 防重签名 防篡改 安全加固
07-22
这里实现了安卓移动APP防二次打包、防重签名、防篡改的自动化一键式加固工具。成熟的安全加固方案,均已实现和投入使用,解决了企业和个人的安全问题。针对开发者指定的移动应用apk),以本地工具的方式,自动完成...
安卓APK混淆加固签名工具1.6.0
03-26
安卓APK资源混淆加密重签名工具,可以对安卓APK文件的代码和资源文件进行混淆加密处理,可以对安卓APK文件进行加固,对代码和资源文件进行混淆,重新签名等功能. 可以保护APK,增加破解难度,防止误报毒等功能. ...
Android Apk去掉签名以及重新签名的方法
01-05
Android开发中很重要的一部就是用自己的密钥给Apk文件签名,不经过签名Apk文件一般是无法安装的,就算装了最后也是失败。 网上流传的“勾选允许安装未知来源的应用”其实跟签不签名没啥关系,说白了就是允许安装不...
android反编译二次打包签名工具android逆向工具集
07-14
本工具包可以做到含如下几个:APK文件反编译查看AndroidManifest.xml等资源文件,项目源文件(.smali文件可修改),逆向助手可查看java源码(不能修改),二次打包生成apk,二次签名生成可安装的apk文件。另附步骤说明一份
AndroidAPK应用签名机制以及读取签名的方法
01-20
发布过Android应用的朋友们应该都知道,Android APK的发布是需要签名的。签名机制在Android应用和框架中有着十分重要的作用。例如,Android系统禁止更新安装签名不一致的APK;如果应用需要使用system权限,必须保证...
Android 安全Android 应用 APK 加固总结.zip
04-06
Android 安全Android 应用 APK 加固总结 https://hanshuliang.blog.csdn.net/article/details/115458625 博客源码快照
对已签名apk进行再次签名的方法如下
chali1314的博客
09-08 7528
对于客户提供的已签名apk进行再次签名的方法如下: 1、使用apktool工具,将原apk签名进行删除:命令如下:apktool d test.apk 2、对删除签名之后的文件夹进行再次打包,此时无签名,命令如下:apktool b test,此时在test目录下会有一个dist文件夹,dist下面的就是重新打包的apk; 3、使用jarsigner对步骤2当中重新打包的apk进行签名,命令如下:jarsigner -verbose -keystore debug.keystore -sigfile ce
Android 判断签名MD5——防止二次打包
weixin_34199405的博客
02-01 410
2019独角兽企业重金招聘Python工程师标准>>> ...
Android-APK防止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验
m0_64603929的博客
12-16 6104
private void hook(Context context) { try { DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode(“省略很长的签名 base64”, 0))); byte[][] bArr = new&n
android中格式对齐,android 优化之字节对齐
weixin_32836671的博客
05-25 737
前提在Android中,每个应用程序中储存的数据文件都会被多个进程访问:安装程序会读取应用程序的manifest文件来处理与之相关的权限问题;Home应用程序会读取资源文件来获取应用程序的名和图标;系统服务会因为很多种原因读取资源(例如,显示应用程序的Notification);此外,就是应用程序自身用到资源文件。在Android中,当资源文件通过内存映射对齐到4字节边界时,访问资源文件的代码才是...
手把手教你对APK进行二次签名
Hello__code的博客
01-02 7367
由于项目中近期使用了梆梆安全加固加固完成后需要对APK进行二次签名!梆梆安全提供的签名软件不知道是不是环境的原因,在我这里用不了,只能使用命令进行签名了! 首先把签名证书和要进行签名APK文件一同拷贝到 Java jdk的bin目录下 然后用命令签名
如何对android apk 应用进行加固
04-21
您可以使用加固工具对Android APK进行加固,这些工具可以对代码和资源文件进行混淆、加密、签名保护等操作,提高应用安全性,防止反编译和逆向工程。一些知名的加固工具包括:DEX Guard、ProGuard、360加固等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值