Android利用反射进行较强的签名校验

最新推荐文章于 2024-03-30 01:05:26 发布
最新推荐文章于 2024-03-30 01:05:26 发布
阅读量1.2k 收藏 7
点赞数
文章标签: java android kotlin 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47587308/article/details/125141160
版权

常见签名校验

一般来说,签名校验的方式有以下几种

  1. 通过安卓提供的api,利用packagemanager获取签名数据,和已存的正确值进行对比
  2. 在native中,反射Java的api,进行对比,本质上和1相同
  3. 自己读取apk文件,解压,校验META-INF里的RSA文件

第一种和第二种,是大多数软件在用的,但是很容易被逆向者过掉,甚至有工具可以一键过掉

第三种校验的准确性更高,缺点是效率低、易发生错误,并且v1以上的签名之后,并不生成RSA文件。那么校验文件也就不可取了。

这是常见的签名校验的示例:

/**

 * 常见的签名校验

 */

private boolean doNormalSignCheck() {

    String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152";

    String nowSignMD5 = "";

    try {

        // 得到签名的MD5

        PackageInfo packageInfo = getPackageManager().getPackageInfo(

                getPackageName(),

                PackageManager.GET_SIGNATURES);

        Signature[] signs = packageInfo.signatures;

        String signBase64 = Base64Util.encodeToString(signs[0].toByteArray());

        nowSignMD5 = MD5Utils.MD5(signBase64);

    } catch (PackageManager.NameNotFoundException e) {

        e.printStackTrace();

    }

    return trueSignMD5.equals(nowSignMD5);

}

归根结底,问题就在于如何准确的获取签名。

反射机制

反射是Java的一种机制

下面是百度百科的介绍:

0a34cc3423b147ca984bf7cce94ee31b.jpg

 

新的获取签名方式

一个通过反射获取Binder,进而获取签名值的示例。

val smc = Class.forName("android.os.ServiceManager")

val sCache = (smc.getDeclaredField("sCache").also {

    if (!it.isAccessible) it.isAccessible = true

}.get(smc) as ArrayMap<String, IBinder>).also { it.clear() } 

val gsm = smc.getDeclaredMethod("getService", String::class.java)

 

fun checkSignV2(context: Context, realSign: String): Boolean {

    kotlin.runCatching {

        if (sCache["package"] == null) { 

            val userId = Process.myUid() / 100000

            val binder = HiddenApi.getServiceByMethod("package")

            val bz = Class.forName("android.content.pm.IPackageManager\$Stub")

            val am = bz.getDeclaredMethod("asInterface", IBinder::class.java)

            val mmg = am.invoke(bz, binder)

            val ic = Class.forName("android.content.pm.IPackageManager")

            val gmi = ic.getDeclaredMethod("getPackageInfo", String::class.java, Int::class.java, Int::class.java)

            val  signatures: Array<Signature> = if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.P) {

                (gmi.invoke(mmg, context.packageName, PackageManager.GET_SIGNING_CERTIFICATES, userId) as PackageInfo).signingInfo.apkContentsSigners

            } else {

                (gmi.invoke(mmg, context.packageName, PackageManager.GET_SIGNATURES, userId) as PackageInfo).signatures

            }

            val builder = StringBuilder()

            signatures.forEach {

                builder.append(it.toCharsString())

            }

            return builder.toString() == realSign

        }

        return false

    }.onFailure {

        it.printStackTrace()

    }

    return true

}

之前查验签名的PackageManager是用bind系统服务(package)实现的。而这个,直接对接系统服务。

补充:

多种校验方式结合,配合着类名校验更佳。

 

参考:https://blog.xinrao.co/index.php/archives/28/

https://blog.csdn.net/qq_40948137/article/details/115866451

怜渠客
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.NET强签名去除工具
10-29
史上最强的强签名去除工具,不仅可以去除本身的强签名,对引用的强签名程序集也可以去除强签名限制,独一无二的破解神器!
Android签名验证与反调试机制的对抗技术
道阻且长,行则将至。
10-29 2054
文章目录前言签名验证1.1 签名机制1.2 签名验签1.3 签名绕过反反调试2.1 tracerPid检测2.2 进程名称检测2.3 关键文件检测2.4 调试端口检测2.5 ptrace值检测2.6 时间差异检测2.7 内置函数检测2.8 调试断点检测总结 前言 Android 的 APK 文件为了防止被篡改和重打包,经常会做签名校验来保证自身完整性,当程序被篡改后将提示用户或者直接退出运行。同时有些 APP 为了防止被攻击者动态调试和分析,还做了反调试机制。本文来学习记录下 Android 签名验证机制与
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
最新发布
m0_63174618的博客
03-30 836
他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。在学习 Application 的创建流程的时候可知(其实是我不会上网找的流程),另一个 LoadedApk 对象是通过 getPackageInfoNoCheck 方法创建的。只有具备这样的能力,架构师才能看清系统的整体,掌控全局,这也是架构师大局观的形成基础。
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
01-05
最近做安卓项目中使用到了百度地图的API,在申请百度地图key的时候,需要我们填入“签名的SHA1”和“客户端包名”,然后百度为我们生成一个key。 于是就引发了思考,百度为何需要我们客户端签名的SHA1值呢? 第一想法就是:百度拿我们输入的参数SHA1和包名进行一些列算法计算,生成一个key返回给我们。 为了证明这个想法,写了demo进行测试,android获取包名的方法很简单,但是我们还需要从客户端中获取keystore的指纹SHA1。 进行各种资料的查找和分析,才得出方法。 一、首先,科普一下apk包下的META-INF目录 我们已经知道的是:Android对每一个Apk文件都会进行签名
Android签名证书文件的解析和签名校验的加强
01-10
Android签名证书文件的解析和签名校验的加强
Android签名校验机制
gavin109的专栏
09-10 778
Android系统签名主要有ROM签名和应用程序APK签名两种形式。ROM签名是针对已经生成的Android系统ROM包进行签名。应用程序APK签名是针对开发者开发的应用程序安装包APK进行签名。前者是对整个Android系统包签名,后者只对Android系统中一个应用程序APK签名
安卓签名工具
12-02
移动app签名工具,能对移动app进行签名,非常方便的工具。
android_apk安全之运行时签名校验
stormCoder的博客
03-14 3810
android_apk安全之运行时签名校验有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。因为会经常用到,所以在这里整理了一下校验方式。代码当中的注释很详细,故不再多做说明了。public class AppSignCheck { private Context context; private String cer = null; priv
最常见的Android签名校验
m0_47587308的博客
10-05 1892
将Signature对象转化为MD5字符串的方法
android签名校验代码,Android签名验证解析
weixin_31591833的博客
05-26 1465
1、本文主要内容知识回顾签名验证解析总结本文介绍下Android在安装apk时,对签名的验证过程2、知识回顾在Android签名过程详解一文中,我已经详细说明签名的过程以及为什么要这么做,一起回顾下,当签名完成后,生成的3个文件分别有什么作用:对Apk中的每个文件做一次算法(数据摘要+Base64编码),保存到MANIFEST.MF文件中对MANIFEST.MF整个文件做一次算法(数据摘要+Bas...
Android签名验证简介
热门推荐
Robin Hu的专栏
11-30 1万+
本文博客原文 Android原生自带了个安装器(packages\apps\PackageInstaller), 通过其中的源码PackageParser.java (frameworks\base\core\java\android\content\pm) 我们大概就能知道其签名验证机制的验证过程。 其中主要涉及2个函数: 函数1 public boolean colle
Android签名验证代码
04-17
Android签名过程的验证过程,及其签名里面文件的生成过程的代码
android jni校验当前签名和打包时的签名是否一直
02-24
网上找了很多资料,都不可用,这是采了很多坑才做出来的.不会c++,所以写的代码很蹩脚,介意的别下.
去APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
微信支付接口签名校验工具
03-29
此工具旨在帮助开发者检测调用【微信支付接口API】时发送的请求参数中生成的签名是否正确,提交相关信息后可获得签名校验结果 (2) 根据选择的校验方式填入对应的的XML或参数值 XML校验:请将提交到接口或接口返回...
Android 串口通信Demo 可以修改奇偶校验
06-26
可以修改奇偶校验位的Android 串口通信demo!!!!!!!!!!!!!!!!
android中实现手机号码的校验的示例代码
01-20
现在应用中都有对手机号码的校验,我以我自己的方式实现了一把,下面是效果图 1、核心代码很简单,如下: /** * 验证手机格式 */ public static boolean isMobileNO(String mobiles) { /* * 移动:134、135...
Android开发中使用CRC校验
04-29
Android开发中使用CRC校验,博客地址:http://blog.csdn.net/duanbokan/article/details/51282614
Android 一种新型签名校验方式
m0_47587308的博客
01-01 826
针对新型过签方式CREATOR置换,这里提供一种校验方式。
android 签名校验
06-07
Android 签名校验是指在 Android 应用安装时,检查应用是否被篡改或者来自于可信的开发者。每个 Android 应用都必须使用数字证书进行签名,以确保应用的完整性和安全性。 在 Android 应用安装时,系统会检查应用的数字证书是否与系统中已知的证书相匹配。如果证书不匹配或者证书无效,系统会提示用户应用可能不安全,并且要求用户确认是否继续安装。 开发者可以使用 Android Studio 或者命令行工具对应用进行签名签名过程中,开发者需要提供一个私钥和一个证书,用于对应用进行数字签名签名完成后,开发者需要将证书发布到公共信任机构,以确保应用被认为是可信的。 总之,Android 签名校验Android 系统保证应用安全性的重要措施之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值