Android签名验证简介

最新推荐文章于 2023-10-11 18:13:11 发布
最新推荐文章于 2023-10-11 18:13:11 发布
阅读量173 收藏
点赞数
分类专栏: JAVA Android 文章标签: 移动开发 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_21201/article/details/82579745
版权
Android 同时被 2 个专栏收录
62 篇文章 0 订阅
订阅专栏
JAVA
46 篇文章 0 订阅
订阅专栏

Android原生自带了个安装器(packages\apps\PackageInstaller),

通过其中的源码 PackageParser.java  (frameworks\base\core\java\android\content\pm)
我们大概就能知道其签名验证机制的验证过程。
其中主要涉及2个函数:
函数1 
public boolean collectCertificates(Package pkg, int flags) {
        pkg.mSignatures = null;

        WeakReference<byte[]> readBufferRef;
        byte[] readBuffer = null;
        synchronized (mSync) {
            readBufferRef = mReadBuffer;
            if (readBufferRef != null) {
                mReadBuffer = null;
                readBuffer = readBufferRef.get();
            }
            if (readBuffer == null) {
                readBuffer = new byte[8192];
                readBufferRef = new WeakReference<byte[]>(readBuffer);
            }
        }

        try {
            JarFile jarFile = new JarFile(mArchiveSourcePath);

            Certificate[] certs = null;

            if ((flags&PARSE_IS_SYSTEM) != 0) {
                // If this package comes from the system image, then we
                // can trust it...  we'll just use the AndroidManifest.xml
                // to retrieve its signatures, not validating all of the
                // files.
                JarEntry jarEntry = jarFile.getJarEntry(ANDROID_MANIFEST_FILENAME);
                certs = loadCertificates(jarFile, jarEntry, readBuffer);
                if (certs == null) {
                    Slog.e(TAG, "Package " + pkg.packageName
                            + " has no certificates at entry "
                            + jarEntry.getName() + "; ignoring!");
                    jarFile.close();
                    mParseError = PackageManager.INSTALL_PARSE_FAILED_NO_CERTIFICATES;
                    return false;
                }
                if (DEBUG_JAR) {
                    Slog.i(TAG, "File " + mArchiveSourcePath + ": entry=" + jarEntry
                            + " certs=" + (certs != null ? certs.length : 0));
                    if (certs != null) {
                        final int N = certs.length;
                        for (int i=0; i<N; i++) {
                            Slog.i(TAG, "  Public key: "
                                    + certs[i].getPublicKey().getEncoded()
                                    + " " + certs[i].getPublicKey());
                        }
                    }
                }
            } else {
                Enumeration<JarEntry> entries = jarFile.entries();
                final Manifest manifest = jarFile.getManifest();
                while (entries.hasMoreElements()) {
                    final JarEntry je = entries.nextElement();
                    if (je.isDirectory()) continue;

                    final String name = je.getName();

                    if (name.startsWith("META-INF/"))
                        continue;

                    if (ANDROID_MANIFEST_FILENAME.equals(name)) {
                        final Attributes attributes = manifest.getAttributes(name);
                        pkg.manifestDigest = ManifestDigest.fromAttributes(attributes);
                    }

                    final Certificate[] localCerts = loadCertificates(jarFile, je, readBuffer);
                    if (DEBUG_JAR) {
                        Slog.i(TAG, "File " + mArchiveSourcePath + " entry " + je.getName()
                                + ": certs=" + certs + " ("
                                + (certs != null ? certs.length : 0) + ")");
                    }

                    if (localCerts == null) {
                        Slog.e(TAG, "Package " + pkg.packageName
                                + " has no certificates at entry "
                                + je.getName() + "; ignoring!");
                        jarFile.close();
                        mParseError = PackageManager.INSTALL_PARSE_FAILED_NO_CERTIFICATES;
                        return false;
                    } else if (certs == null) {
                        certs = localCerts;
                    } else {
                        // Ensure all certificates match.
                        for (int i=0; i<certs.length; i++) {
                            boolean found = false;
                            for (int j=0; j<localCerts.length; j++) {
                                if (certs[i] != null &&
                                        certs[i].equals(localCerts[j])) {
                                    found = true;
                                    break;
                                }
                            }
                            if (!found || certs.length != localCerts.length) {
                                Slog.e(TAG, "Package " + pkg.packageName
                                        + " has mismatched certificates at entry "
                                        + je.getName() + "; ignoring!");
                                jarFile.close();
                                mParseError = PackageManager.INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES;
                                return false;
                            }
                        }
                    }
                }
            }
            jarFile.close();

            synchronized (mSync) {
                mReadBuffer = readBufferRef;
            }

            if (certs != null && certs.length > 0) {
                final int N = certs.length;
                pkg.mSignatures = new Signature[certs.length];
                for (int i=0; i<N; i++) {
                    pkg.mSignatures[i] = new Signature(
                            certs[i].getEncoded());
                }
            } else {
                Slog.e(TAG, "Package " + pkg.packageName
                        + " has no certificates; ignoring!");
                mParseError = PackageManager.INSTALL_PARSE_FAILED_NO_CERTIFICATES;
                return false;
            }
        } catch (CertificateEncodingException e) {
            Slog.w(TAG, "Exception reading " + mArchiveSourcePath, e);
            mParseError = PackageManager.INSTALL_PARSE_FAILED_CERTIFICATE_ENCODING;
            return false;
        } catch (IOException e) {
            Slog.w(TAG, "Exception reading " + mArchiveSourcePath, e);
            mParseError = PackageManager.INSTALL_PARSE_FAILED_CERTIFICATE_ENCODING;
            return false;
        } catch (RuntimeException e) {
            Slog.w(TAG, "Exception reading " + mArchiveSourcePath, e);
            mParseError = PackageManager.INSTALL_PARSE_FAILED_UNEXPECTED_EXCEPTION;
            return false;
        }

        return true;
    }
  函数2 
private Certificate[] loadCertificates(JarFile jarFile, JarEntry je,
            byte[] readBuffer) {
        try {
            // We must read the stream for the JarEntry to retrieve
            // its certificates.
            InputStream is = new BufferedInputStream(jarFile.getInputStream(je));
            while (is.read(readBuffer, 0, readBuffer.length) != -1) {
                // not using
            }
            is.close();
            return je != null ? je.getCertificates() : null;
        } catch (IOException e) {
            Slog.w(TAG, "Exception reading " + je.getName() + " in "
                    + jarFile.getName(), e);
        } catch (RuntimeException e) {
            Slog.w(TAG, "Exception reading " + je.getName() + " in "
                    + jarFile.getName(), e);
        }
        return null;
    }
  通过上面的代码,我们已经能够得到了签名的证书,通过证书我们就得到PublicKey,通过比较PublicKey我们就能比较签名是否一致,当然这里假设的是只有一个签名。
实例1 
package edu.edut.robin.utils;

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.security.PublicKey;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.util.jar.JarEntry;
import java.util.jar.JarFile;

import android.content.Context;
import android.content.pm.PackageInfo;
import android.content.pm.PackageManager;
import android.content.pm.PackageManager.NameNotFoundException;
import android.util.Base64;

public class SigntureUtil
{
    final static String TAG = "Signture";

    public static String[] getPublicKeyString(PackageInfo pi)
    {
        PublicKey pubKeys[] = getPublicKey(pi);
        if (pubKeys == null || pubKeys.length == 0)
        {
            return null;
        }
        String[] strPubKeys = new String[pubKeys.length];
        for (int i = 0; i < pubKeys.length; i++)
            strPubKeys[i] = Base64.encodeToString(pubKeys[i].getEncoded(),
                    Base64.DEFAULT);
        return strPubKeys;
    }

    private static PublicKey[] getPublicKey(PackageInfo pi)
    {
        try
        {
            if (pi.signatures == null || pi.signatures.length == 0)
            {
                return null;
            }
            PublicKey[] publicKeys = new PublicKey[pi.signatures.length];
            for (int i = 0; i < publicKeys.length; i++)
            {
                byte[] signature = pi.signatures[i].toByteArray();
                CertificateFactory certFactory = CertificateFactory
                        .getInstance("X.509");
                InputStream is = new ByteArrayInputStream(signature);
                X509Certificate cert = (X509Certificate) certFactory
                        .generateCertificate(is);

                publicKeys[i] = cert.getPublicKey();
            }
        } catch (Exception ex)
        {

        }
        return null;
    }

    private static PublicKey[] getInstalledAppPublicKey(Context context,
            String packageName)
    {
        PackageManager pm = context.getPackageManager();
        PackageInfo pi;
        try
        {
            pi = pm.getPackageInfo(packageName, PackageManager.GET_SIGNATURES);
            if (pi != null && pi.versionName != null)
            {
                return getPublicKey(pi);
            }
        } catch (NameNotFoundException e)
        {
            // not installed
            return null;
        } catch (Exception e)
        {
            e.printStackTrace();
        }

        return null;
    }

    private static Certificate[] loadCertificates(JarFile jarFile, JarEntry je)
    {
        try
        {
            // We must read the stream for the JarEntry to retrieve
            // its certificates.
            byte[] readBuffer = new byte[1024];
            InputStream is = jarFile.getInputStream(je);
            while (is.read(readBuffer, 0, readBuffer.length) != -1)
                ;
            is.close();

            return (je != null) ? je.getCertificates() : null;
        } catch (IOException e)
        {
            e.printStackTrace();
        }
        return null;
    }

    public static boolean verifySignature(Context context, String packageName,
            String filePath)
    {
        boolean verifyed = true;
        try
        {
            PublicKey[] installedAppPubKeys = getInstalledAppPublicKey(context,
                    packageName);
            if (installedAppPubKeys == null||installedAppPubKeys.length==0)
            {
                // package not installed
                return true;
            }
            JarFile jarFile = new JarFile(filePath);
            verifyed = false;
            JarEntry je = jarFile.getJarEntry("classes.dex");
            Certificate[] certs = loadCertificates(jarFile, je);
            if (certs != null && certs.length > 0)
            {
                for (int i = 0; i < certs.length; i++)
                {
                    PublicKey pubKey = certs[i].getPublicKey();
                    for(int j=0;j<installedAppPubKeys.length;j++)
                    {
                        if (pubKey.equals(installedAppPubKeys[j]))
                        {
                            verifyed = true;
                            break;
                        }
                    }
                    if(verifyed)
                        break;
                }
            } else
            {
                verifyed = true;
            }

            jarFile.close();
        } catch (Exception e)
        {
            verifyed = true;
        }

        return verifyed;
    }

}
  关于数字签名的更多内容请阅读《 数字签名简介
关于java本身的数字签名和数字证书请参考《 Java中的数字签名和数字证书 》和 Jar文件的数字签名
结束
android签名校验代码,Android签名验证解析
weixin_31591833的博客
05-26 1572
1、本文主要内容知识回顾签名验证解析总结本文介绍下Android在安装apk时,对签名验证过程2、知识回顾在Android签名过程详解一文中,我已经详细说明签名的过程以及为什么要这么做,一起回顾下,当签名完成后,生成的3个文件分别有什么作用:对Apk中的每个文件做一次算法(数据摘要+Base64编码),保存到MANIFEST.MF文件中对MANIFEST.MF整个文件做一次算法(数据摘要+Bas...
Android签名验证代码
04-17
Android签名过程的验证过程,及其签名里面文件的生成过程的代码
android 签名验证
小河流水
08-31 570
/** * 签名算法 */public static final String SIGNATURE_ALGORITHM = "MD5withRSA"; /** * RSA最大解密密文大小 */ public static final String KEY_ALGORITHM = "RSA";public static String sign(byte[] data, String priva
Android 签名验证
Men-DD
08-30 2191
Android 签名验证签名好了,用下面的可以验证是否签名成功 blog: keytool -genkey -alias signapk.keystore -keyalg RSA -validity 20000 -keystore signapk.keystore blog: jarsigner -verbose -keystore signapk.keystore -sig
Android中的签名验证(1)
╰☆╮EvilCode的专栏╭☆╯
06-30 838
<br />     Android系统要求所有安装的应用程序必需有数字签名。否则系统将不会安装和运行没有合适的签名许可的程序。无论是在设备还是模拟器上都必须给你的程 序建立签名才可以调试运。这是所有Android开发人员都懂得的道理。但是什么是数字签名,其中的原理是什么呢?我并不了解。所有趁有空,查了查相关的 知识。 <br />     在介绍Android,我们要了解密码学的基本知识:加密。请看对加密技术的一点 总结(1) <br />     而在Gphone上的数字签名不仅存在于所有安
CorePatch:禁用Android签名验证
04-29
Disable signature verification For Android 描述 branch master -> support android 4.4-7.x Android8.x -> maybe you need find the commit what change version name to 2.1,then compile by you self branch Q ...
java生成及验证android签名文件源码及生成签名文件
09-05
本文将深入探讨Java如何生成及验证Android签名文件,并解析源码中的相关概念。 首先,让我们理解Android签名文件的核心作用。Android签名文件(通常为`.keystore`格式)是一个包含了应用开发者私钥的加密文件,用于...
一种Android数字签名验证机制漏洞探析.pdf
09-21
本文深入探讨了Android系统数字签名验证机制中存在的一类漏洞,以及其成因和可能的解决方案。首先,文章介绍了数字签名验证过程的基本原理,随后详细分析了Android系统数字签名机制的具体作用及其潜在的漏洞。 在...
Android 签名校验
xyyh6600的博客
07-31 397
试试
Android签名证书文件的解析和签名校验的加强
01-10
Android签名证书文件的解析和签名校验的加强
Android APK文件的签名V2查找、验证
q1165328963的博客
08-28 2684
在查找V2签名块时,我们需要了解APK文件的结构,明白签名数据块在中央目录之前存放,并且需要知道签名块的数据结构。 在签名验证过程中,更需要熟悉v2分块的数据存储结构形式。通过找到需要签名的数据,签名数据,还有签名算法、公钥。之后,就能使用公钥验签私钥签名的数据。
某网盘android版过签名验证
jmp esp
11-14 562
简介某网盘整体上没有采用自家的加固,混淆程度还好,会有下划线和字母混淆,可是还不是很完整,关键的一些地方依然没有混淆,采取了本地签名验证的方式来避免重新打包,但是其实并没有什么用,最核心的部分没有混淆到.现象重新打包之后可以运行云盘,但是会跳出对话框,说当前运行在非官方版本下,然后点击确认就退出了分析思路签名更改后会跳出对话框,对话框中有文字,这里就是一个突破点了,在android killer中查
android 证书验证流程分析_Android签名机制之---签名验证过程详解
Android framework
08-22 471
android 证书验证流程分析_Android签名机制之---签名验证过程详解
Android签名机制及PMS中校验流程(雷惊风)
刘永雷的专栏
04-27 1858
@Android签名机制及PMS中校验流程(雷惊风) 网上看到一篇比较好的关于Android签名的文章,但是文章链接不安全,不知道哪天会不会找不到了,而且需要关注才能查看完整版,所以在这里记录一下,原文地址 . 一、签名机制 众所周知,在Android系统中,应用想要安装到设备中,必须要有签名才行,及时是debug的时候,开发工具也会对要运行的应用自动签名,那么我们先来了解一下这个签名究竟是什么。...
最常见的Android签名校验
m0_47587308的博客
10-05 1977
将Signature对象转化为MD5字符串的方法
聊聊Android签名检测7种核心检测方案详解
最新发布
wei_java144的博客
10-11 1799
这篇文章只讲Android签名检测,安卓发展到现在,因为国内环境没有谷歌市场,所以很多官方推荐的Api没法使用 ,所以国内的签名检测方式也是“千奇百怪”。发展至今每种方法都有一些绕过或者对抗手段,这些方法很难说就一定准 ,但是我们能做的就是取尽可能的提高攻击者的成本,提升Apk的签名检测能力,防止灰黑产进行攻击。基础的什么Java获取签名信息这种基础方案,这里暂时跳过 ,不在过多叙述。
面试:Android 签名校验机制 v1、v2、v3
王温暖的博客
11-13 2498
2. 对MAINFEST.MF整个文件做一次算法(数据摘要+Base64编码),存放到CERT.SF文件的头属性中,在对MAINFEST.MF文件中各个属性块做一次算法(数据摘要+Base64编码),存放到一个属性块中。:由于开发商可能通过使用相同的package name来混淆替换已经安装的程序,以此保证签名不同的包不被替换。2. 保证信息传输的完成性:签名对于包中的每个文件进行处理,以此确保包中内容不被替换。3. 对CERT.SF文件做签名,内容存档到CERT.RSA中。
Android 读取APK签名信息
LIAN_1988的专栏
07-17 2242
[java] view plaincopy 某些时候需要获取某个特定的apk(已安装或者未安装)的签名信息,如程序自检测,可信赖的第三方检测(应用市场),系统限定安装   对此,有两种实现方法   可以使用Java自带的API(主要用到的为JarFile,JarEntry,Certificate)进行获取,还有一种方法是使用系统隐藏的API PackagePars
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值