一个简单的apk完整性校验方法

最新推荐文章于 2024-08-16 09:28:31 发布
最新推荐文章于 2024-08-16 09:28:31 发布
阅读量3.8k 收藏 3
点赞数 3
分类专栏: Android 文章标签: apk 安全 java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/number_cmd9/article/details/107868116
版权

一个简单的apk完整性校验方法,客户端打包校验

思路来自我的上级老大哥,因为从网上的搜索发现,很多apk校验是需要基于服务器来提供一个SHA1的校验的,因为apk生成后这个值基本是单一的,也就是仅仅属于这个apk,那么我这里采用的方法就是利用我们打包加密时的key拿到SHA1,然后进行对这个key的SHA1的一个程序校验即可。首先你需要拿到key的SHA1

拿到key的SHA1

话不多说,上步骤;
第一步、打开Android Studio的Terminal工具(不会有人连这个在哪都不知道吧,不会吧不会吧?)
在这里插入图片描述
第二步、输入命令:keytool -v -list -keystore 文件路径.jks,这里的文件路径就是指向你的key的一个文件路径
然后没有key的自己搜下打包的key是怎么生成的,这里就不赘述了
在这里插入图片描述
第三步、输入Keystore密码就行
那么这里就能拿到你想要的SHA1了,格式呢就类似于A1:B2:C3:D4这样
在这里插入图片描述

通过程序获取apk包里的一个SHA1

通过下面的方法就能在代码中获取到key进行签名的一个SHA1了

    public static String sHA1(Context context) {
        try {
            PackageInfo info = context.getPackageManager().getPackageInfo(
                    context.getPackageName(), PackageManager.GET_SIGNATURES);
            byte[] cert = info.signatures[0].toByteArray();
            MessageDigest md = MessageDigest.getInstance("SHA1");
            byte[] publicKey = md.digest(cert);
            StringBuffer hexString = new StringBuffer();
            for (int i = 0; i < publicKey.length; i++) {
                String appendString = Integer.toHexString(0xFF & publicKey[i])
                        .toUpperCase(Locale.US);
                if (appendString.length() == 1)
                    hexString.append("0");
                hexString.append(appendString);
                hexString.append(":");
            }
            String result = hexString.toString();
            return result.substring(0, result.length()-1);
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return null;
    }

最后进行校验

这里一个是校验,一个杀死进程,也就是你把你通过sHA1()方法拿到的SHA1和之前通过查询获取的SHA1进行比较即可,如果不对,那么就杀死进程。

/**
     * 和key的签名文件对比
     * @param s
     */
    private void compare(String s){
        if (!s.equals("你获取的SHA1")){
            killAppProcess();
        }
    }
    /**
     * 杀死进程
     */
    public void killAppProcess()
    {
        //注意:不能先杀掉主进程,否则逻辑代码无法继续执行,需先杀掉相关进程最后杀掉主进程
        ActivityManager mActivityManager = (ActivityManager)LoadingActivity.this.getSystemService(Context.ACTIVITY_SERVICE);
        List<ActivityManager.RunningAppProcessInfo> mList = mActivityManager.getRunningAppProcesses();
        for (ActivityManager.RunningAppProcessInfo runningAppProcessInfo : mList)
        {
            if (runningAppProcessInfo.pid != android.os.Process.myPid())
            {
                android.os.Process.killProcess(runningAppProcessInfo.pid);
            }
        }
        android.os.Process.killProcess(android.os.Process.myPid());
        System.exit(0);
    }

总结

这里的完整性校验,是对于打包时的一个key的验证,也就是一旦反编译后用另外一个key进行编译,那么这个SHA1值就永远不会对上,不过有守就会有攻,建议最好在进行一下安全加固,多一层保障多一层放心。

玖流之辈
关注
专栏目录
APP安全APK完整性校验
fuchenxuan blog
05-22 1万+
APP安全APK完整性校验前言 APK 完整性校验,虽然很难做到绝对的安全,但能提高应用的安全性和破解难度。 一、认识APK安全性危害可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息二、完整性校验原理完整性校验的几种方式 CRC校验 MD5值校验 SHA1值校验 常见android完整性检测 检测签名 校验classes.dex 校验整个apk 检测
android apk 校验
LiuJP的博客
07-13 699
1,在app 刚开启时会提示:破解软件,盗版软件 2,要不就是FC:Forcing Close 强制退出 自校验: 本地校验。 联网校验。 签名经验。 dex校验。 长短检验。 签名校验用的很多; 1,有提示:先搜索提示信息; 再去signature 2,无提示: packageManager.getPackagerName 关键字:sig
Android 校验apk文件渠道号、包名、版本号
11-06
功能:可查看单个或目录下所有apk文件的渠道号、包名、版本号 使用:以查看包名、版本号为例 1、copy文件version.sh到apk文件所在目录 2、查看所有apk包名、版本号 执行命令./version.sh查看所有apk文件版本号及versionCode 3、查看单个apk文件apk包名、版本号 执行命令./version.sh apk_a01.apk查看所有apk apk_a01版本号及versionCode NOTE: 如提示找不到aapt,请把aapt添加到环境变量中,aapt目录android-sdk-linux/build-tools下 或修改脚本如下红色字体为电脑aapt路径 #echo package and versionName echo `aapt d xmltree "$f" AndroidManifest.xml |grep -E -n -i "android:value" ` done 修改后为: #echo package and versionName echo `/android-sdk-linux/build-tools/23.0.1/aapt d xmltree "$f" AndroidManifest.xml |grep -E -n -i "android:value" ` done
android app 验证完整性
最新发布
weixin_42511315的博客
08-16 77
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1Android App 验证完整性 在当前数字化时代,Android应用程序(App)的安全性显得尤为重要。应用程序的完整性验证不仅可以防止恶意修改,还可以提升用户信任感。本文将介绍And...
Android APK文件完整性验证
q1165328963的博客
09-01 1362
APK完整性校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
apk应用完整性校验
xianjie0318的博客
07-12 722
java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径 用 SignApk,对未签名的 APK 文件进行签名,命令如下: java -jar signapk.jar testkey.x509.pem testkey.pk8 待签名 apk 文件路径 签名后输出 apk 路径。用 ApkTool,将解包目录重新打包成未签名的 APK 文件,命令如下: java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径。
android_apk安全完整性校验
stormCoder的博客
03-14 9080
android apk安全完整性校验最近项目中在做安全监测,介于这个原因调查了一些第三方的加固防编译平台和自己使用中的心得,总结了apk安全完整性校验的监测.完整性校验原理完整性校验就是我们用各种算法来计算一个文件的完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的class
apk完整性校验-防反编译
GB1183710114的博客
12-26 2047
apk完整性校验、文件校验、防反编译
java完整性校验解决方案
06-23
Java 数据完整性校验是保障软件安全的重要环节,尤其是在下载或传输文件时,确保数据未被篡改至关重要。这里我们将深入探讨 Java 中实现数据完整性验证的方法,主要关注MD5(Message-Digest Algorithm 5)哈希算法的...
apk安全校验
02-07
因此,获取并比较`classes.dex`的SHA-1哈希值字符串是检查APK完整性的重要手段。 在实际操作中,我们可以使用Java编程语言进行这些校验。例如,`ApkVerifyWith.java`可能是实现这些功能的源代文件,它可能包含了...
安卓安全-apk完整性校验
奔跑的蜗牛
11-24 2210
crc32全称是“Cyclic Redundancy Check”,中文名是“循环冗余”。 它的计算是非常非常非常严格的。严格到什么程度呢?你的程序只要被改动了一个字节(甚至只是大小写的改动),它的值就会跟原来的不同 至于crc32的值是如何计算的以及实现原理,本文不做讲解,有兴趣的可以google。 在apk中,反编译后恶意的篡改代重新打包主要集中在dex文件中,所以可以通过获取dex文
APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
SHA1效验工具.apk
08-07
解压直接安装运行在手机上就可以查看所有应用的包名,MD5,SHA1值 妈妈再也不用担心我开放平台填写的SHA1有问题了
校验大师(MD5校验工具) 2.7.5 绿色版
11-13
校验大师软件小巧,简单,可对文件进行多种算法的校验计算,算法包括MD4,MD5,CRC32,Haval256,RipeMD128,RipeMD160,SHA1,SHA256,SHA384,SHA512,Tiger192等的,同时支持文件拖放,您可以直接拖动文件到校验窗口进行校验
Android开发自我知识整理——校验APK文件完整性
你所浪费的今天,是昨天死去的人奢望的明天。你所厌恶的现在,是未来的你回不去的曾经!
12-24 1747
项目中遇到需要检测Android应用自动更新问题,不想依赖第三方平台,所以用自定义的方式来实现自动更新,通过请求服务器获取Android应用最新版本信息和本地进行比较,从而判断是否需要更新下载应用,流程基本如下图。
apk校验
newlifenewwork的博客
07-27 1222
1.keystore生成 keytool -genkey -alias alias -keyalg RSA -validity 2000 -keystore custom.keystore 2.META-INF下的文件 2.1 MANIFEST.MF 该文件存储所有文件的hash值,低版本使用的SHA1+BASE64,高版本的使用SHA256+BASE64 某一个文件项 ...
应用完整性检测
王铁涛技术博客
10-18 718
第一种方式使用usbmuxd 1.mac电脑连接到手机 下载:usbmuxd-1.0.6 2. 执行授权命令 chmod -R 777 * 3.连接 ssh /Users/wangtietao/Desktop/AI_Jindan/ssh/tcprelay.py-t 22:2222 第二种方式 ssh 直接连接 1. 手机安装ssh 服务 2.连接 ssh mobi...
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 3890
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,防止被重签名和二次打包(采用混淆、验证签名、服务器端验证等技术防范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值