Android应用安全防护的基本策略(2)--签名保护

最新推荐文章于 2024-04-06 09:42:04 发布
最新推荐文章于 2024-04-06 09:42:04 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyulinde/article/details/103705042
版权

前言

记录逆向的一点一滴

签名的作用

Android中的每个应用都有一个唯一的签名,如果一个应用没有被签名是不允许安装到设备中的。

保护策略

在app的入口判断签名是否正确,如果不正确则退出。

public static String getSignature(Context context) {
        try {
            Signature[] signatures;
            if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {
                PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNING_CERTIFICATES);
                SigningInfo signingInfo = packageInfo.signingInfo;
                signatures = signingInfo.getApkContentsSigners();
            } else {
                PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);
                signatures = packageInfo.signatures;
            }

            StringBuilder builder = new StringBuilder();
            for (Signature signature : signatures) {
                builder.append(signature.toCharsString());
            }

            return builder.toString();
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        }

        return "";
    }

在Application中判断是否一致

		String signature = getSignature(getApplicationContext());
        if (!SIGNATURES.equals(signature)) {
            Toast.makeText(this, "签名被更改", Toast.LENGTH_SHORT).show();
            Process.killProcess(Process.myUid());
            finish();
            return;
        }

其中,SIGNATURES 常量通过getSignature(getApplicationContext())方法获取。

备注

此种方法也不是安全的,可通过smali修改

Geroff
关注
专栏目录
Android应用安全防护技术(上)
武天旭的博客
10-02 1191
一、Android应用安全防护基本策略 1.1、混淆策略 混淆机制有两个用途,第一个是为了安全保护应用,第二个是为了减小应用安装包大小,所以每个应用在发版之前必须要添加混淆这项功能。混淆机制一般有两种:代码混淆和资源混淆。 代码混淆查阅:左侧代码类名方法名不是正常的项目代码,而是以abcd命名,如此可以增加代码阅读难度,增加破解难度。
Android安全防护之旅---Android应用安全的攻防之战
尼古拉斯.赵四的博客
04-18 399
一、前言 在前两篇破解的文章中,我们介绍了如何使用动态调试来破解apk,一个是通过调试smali源码,一个是通过调试so代码来进行代码的跟踪破解,那么今天我们就这两篇文章的破解方法,来看看Android中开发应用的过程中如何对我们的应用做一层安全保护,当然现在市场中大部分的应用已经做了一些防护策略,但是没有绝对的安全,破解只是时间上的问题。所以攻破和防护是相生相克,永不停息的战争,没有绝对的安全...
Android 一种新型签名校验方式
m0_47587308的博客
01-01 952
针对新型过签方式CREATOR置换,这里提供一种校验方式。
Android平台通用安全问题分析及策略
学习笔记
08-19 286
一、Android安全问题产生的根源 【51CTO专稿】研究人员已发现Android上的流行软件普遍存在安全陷阱与安全漏洞,漏洞频发的原因可能有很多,主要有如下几种:   与一切都是集中管理的IOS相比,Android提供了一种开放的环境,在获得了灵活性、可以满足各种定制需求的同时,也损失了部分安全性。 开发团队通常将精力集中在产品设计、功能实现、用户体验和系统等方面,而很少考虑安全问题...
Android App 签名保护demo
aoan1126的博客
01-21 270
近来闲的无聊,看了看Android 应用安全防护和逆向分析,里面有个使用apk签名防止反编译的篇章。 实践了一下。 有两种方式, 1. 可在java层判定 获取签名的java代码 public static String getSignature(){ Context context = mContext; try{ ...
Android安全防护实用办法
yang_niuxxx的博客
01-11 1337
最近一直做安全方面的业务,有一些理解总结一下 安全防护的有效方式 1.混淆 ★★★★★ 最有用的方式之一,必须要做, a.注意配置字典,最好不要用特殊字符,jadx反混淆之后,特殊字符会很被改写,最好是oO0这个字典,github有很多, b.形参混淆,局部变量混淆,这些东西默认是不会被混淆的,需要人工来做 2.加固 ★★★ 免费的加固,基本上不管您是哪一家,都是白给,脱壳和加壳的技术一直是在对抗发展,但是免费的壳,用处十分有限, 现在的youpk方案脱壳机,对于免费壳都是一键...
Android安全策略
u012378167的专栏
12-03 147
1.开发一款app,保证app安全很重要,别人可以通过反编译查看你的代码获得与服务器的交互的接口,攻击服务器,监听数据报文;
Android应用-安全卫士源码.zip
07-17
通过研究这个安全卫士的源码,开发者可以了解到Android应用开发的核心技术,同时也能了解安全防护领域的最新实践。这不仅有助于提升个人技能,也为开发自己的安全应用提供了起点。因此,对于希望在Android平台从事...
Android安全防护之旅---只需要这几行代码让Android程序项目变得更加安全
尼古拉斯.赵四的博客
04-07 660
​我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终都是不可忽视的问题,辛辛苦苦写的代码被人看的体无完肤对不起自己也对不起公司,所以如果你做了这几件事至少可以防止一些人把你的app给无情的强奸了。本文就来总结一下不用加固方式也可以让你的应用变得更加安全可靠。 一、代码资源...
Android安全防护之旅---应用"反调试"操作的几种方案解析
尼古拉斯.赵四的博客
04-18 928
​一、前言 在之前介绍了很多破解相关的文章,在这个过程中我们难免会遇到一些反调试策略,当时只是简单的介绍了如何去解决反调试,其实在去年我已经介绍了一篇关于Android中的安全逆向防护之战的文章:Android安全逆向防护解析;那么这篇文章就来详细总结一下,现阶段比较流行的几种反调试解决方案。 二、反调试方案分析 第一种:先占坑,自己附加 代码非常简单,在so中加上这行代码即可:pt...
android 安卓应用 防二次打包 防重签名 防篡改 安全加固
07-22
目前移动领域出现了相当部分的安全问题,新的恶意软件层出不穷,同时,企业对敏感数据保密性意识日益提高,作为移动开发者,有责任对最终用户的隐私和安全承担更多责任。另一方面,APP被篡改、盗用,直接伤害了开发者的知识和劳动权益,移动开发者有必要保护自己的利益不受损失。 这里实现了安卓移动APP防二次打包、防重签名、防篡改的自动化一键式加固工具。成熟的安全加固方案,均已实现和投入使用,解决了企业和个人的安全问题。针对开发者指定的移动应用apk),以本地工具的方式,自动完成加固。技术实现上,类似360加固宝、梆梆加固、爱加密、阿里聚安全类似。实现了: - 签名运行时校验 - 资源文件运行时校验 - dex资源运行时校验 - 其他资源运行时校验 保护个人移动应用或企业数据的安全性。如有源码需要,请联系作者本人。QQ:164836265
android签名保护,android签名保护级别 – 澄清
weixin_39733943的博客
05-27 227
参见英文答案 > Regarding Android Permissions and Signature Protection level2个由于我是Android的新手,我想问一些对我来说不够清楚的事情.我在阅读关于权限的API guide作为更多Q& A考虑到这个话题,但是,我不确定我是否正确理解它.因此,签...
android 签名设置,Android 应用签名配置记录
weixin_36044301的博客
05-27 627
一、生成签名文件生成 keystore 签名文件,可以直接通过 AS 生成。Build-->Generate signed Bundle/APK --> APK --> Create new..图1.png填写配置信息:图2.png设置 keystore 路径、密码,设置key:别名、密码、有效期,证书等。Key store path:存放路径(文件名和后缀都可以根据需要任意填写...
Android获取应用签名(适配Android P)
狂发小生的博客
11-04 4586
日常开发中,使用代码检测工具会提示过时方法,以前PackageManager.GET_SIGNATURES,packageInfo.signatures提示过时,现适配Android p,话不多说直接撸代码
Android签名验证与反调试机制的对抗技术
道阻且长,行则将至。
10-29 2244
文章目录前言签名验证1.1 签名机制1.2 签名验签1.3 签名绕过反反调试2.1 tracerPid检测2.2 进程名称检测2.3 关键文件检测2.4 调试端口检测2.5 ptrace值检测2.6 时间差异检测2.7 内置函数检测2.8 调试断点检测总结 前言 AndroidAPK 文件为了防止被篡改和重打包,经常会做签名校验来保证自身完整性,当程序被篡改后将提示用户或者直接退出运行。同时有些 APP 为了防止被攻击者动态调试和分析,还做了反调试机制。本文来学习记录下 Android 签名验证机制与
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验?,学习Android开发的步骤,
最新发布
2401_84152845的博客
04-06 931
i++) {有点长,但是也不是很费解。他继承自 Application,重写了 attachBaseContext 来调用 hook(context) ,在里面做了 IPackageManager 的动态代理,实现在调用 getPackageInfo 方法的时候,修改 signatures[] 为在破解之前计算好的数值。这就是为什么我们的检测手段无效了。
Kotlin 开发Android app(一):Kotlin 建立Android工程
haleycat的博客
11-09 3539
产品会不断的迭代更新,其实编程语言也是一样的,开发Android的新语言Kotlin是简便了很多,我们不需要写太多无用的带来,来实现同样的功能,这来自于Kotlin语言的特性,Kotlin有什么简便的地方,我们后面会通过每一小节来强调他的用法。就这么开始我们Kotlin下的App开发吧。
Android 获取应用基本信息
xyyh6600的博客
01-07 1461
首先看下我们常见的Manifest配置图: 通过上面的划分,我们可以拆分出PackageInfo、ApplicationInfo、ActivityInfo、ServiceInfo、ProviderInfo几个方面,对常用的应用基本信息进行说明。 一、PackageInfo 1.1 获取 packageInfo public static PackageManager getP...
Android 得到安装包的信息
q1165328963的博客
10-25 817
APK安装包里的配置信息都在“AndroidManifest.xml”文件中,通过解析它之后,是放到了ParsingPackageImpl类对象中。ParsingPackageImpl类对象通过自己的toAppInfoWithoutState(),将自己的值生成到ApplicationInfo对象中,而PackageInfo类对象的applicationInfo正是ApplicationInfo对象,并且PackageInfo类对象的其他成员也来自ParsingPackageImpl类对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值