Android APP安全之APK完整性校验

最新推荐文章于 2024-08-16 09:28:31 发布
最新推荐文章于 2024-08-16 09:28:31 发布
阅读量6k 收藏 8
点赞数
文章标签: android 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33209777/article/details/121336833
版权
本文介绍了Android APK可能面临的危害,如篡改客户端行为导致钓鱼攻击。接着详细阐述了完整性校验的原理,包括CRC、MD5、SHA1校验以及Android的签名机制。系统通过MANIFEST.MF、CERT.SF和CERT.RSA三个文件确保程序的完整性,但在Root设备上仍存在安全隐患。建议通过服务器进行额外的classes.dex和整个APK的CRC32和SHA-1校验以增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、认识APK安全性

危害

可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息

二、完整性校验原理

完整性校验的几种方式

  1. CRC校验
  2. MD5值校验
  3. SHA1值校验

常见android完整性检测

  1. 检测签名
  2. 校验classes.dex
  3. 校验整个apk

检测签名

Android对每一个Apk文件都会进行签名,在Apk文件安装时,系统会对其签名信息进行比对,判断程序的完整性,从而决定该Apk文件是否可以安装,在一定程度上达到安全的目的。

  1. MANIFEST.MF:这是摘要文件。程序遍历Apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个用SHA1生成摘要信息,再用Base64进行编码。如果你改变了apk包中的文件,那么在apk安装校验时,改变后的文件摘要信息与MANIFEST.MF的检验信息不同,于是程序就不能成功安装。
  2. CERT.SF:这是对摘要的签名文件。对前一步生成的MANIFEST.MF,使用SHA1-RSA算法,用开发者的私钥进行签名。在安装时只能使用公钥才能解密它。解密之后,将它与未加密的摘要信息(即,MANIFEST.MF文件)进行对比,如果相符ÿ
最低0.47元/天 解锁文章
星月黎明
关注
APP安全APK完整性校验
fuchenxuan blog
05-22 1万+
APP安全APK完整性校验前言 APK 完整性校验,虽然很难做到绝对的安全,但能提高应用安全性和破解难度。 一、认识APK安全性危害可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息二、完整性校验原理完整性校验的几种方式 CRC校验 MD5值校验 SHA1值校验 常见android完整性检测 检测签名 校验classes.dex 校验整个apk 检测
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究_uniapp apk文件完整性检测
最新发布
2401_86964130的博客
09-12 1277
签名是摘要与非对称密钥加密相相结合的产物,摘要就像内容的一个指纹信息,一旦内容被篡改,摘要就会改变,签名是摘要的加密结果,摘要改变,签名也会失效。Android APK签名也是这个道理,如果APK签名跟内容对应不起来,Android系统就认为APK内容被篡改了,从而拒绝安装,以保证系统的安全性。应用程序的作者使用自己的私钥签名APK文件,并将签名与公钥一起发布到APK中,这个过程称之为签名。当应用程序被安装时,用发布的公钥去解析签名,并与文件的hash进行比对,这个过程叫验签。
Android APK文件完整性验证
q1165328963的博客
09-01 1714
APK完整性校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
android_apk安全完整性校验
stormCoder的博客
03-14 9223
android apk安全完整性校验最近项目中在做安全监测,介于这个原因调查了一些第三方的加固防编译平台和自己使用中的心得,总结了apk安全完整性校验的监测.完整性校验原理完整性校验就是我们用各种算法来计算一个文件的完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的class
apk应用完整性校验
xianjie0318的博客
07-12 797
java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径 用 SignApk,对未签名的 APK 文件进行签名,命令如下: java -jar signapk.jar testkey.x509.pem testkey.pk8 待签名 apk 文件路径 签名后输出 apk 路径。用 ApkTool,将解包目录重新打包成未签名的 APK 文件,命令如下: java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径。
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 4035
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,防止被重签名和二次打包(采用混淆、验证签名、服务器端验证等技术防范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名。
apk完整性校验-防反编译
GB1183710114的博客
12-26 2292
apk完整性校验、文件校验、防反编译
Android APP应用完整性检查
SunJ3t的菠萝屋
08-09 5417
1. 前言 APK应用完整性即移动客户端程序安装后,在每次启动时都会对自身文件进行完整性进行校验。防止攻击者通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。 2. APK应用完整性检查 1. 使用Apktools反编译APK文件 进入apktool文件夹下,输入以下命令,反编译apk文件 apktool d xx...
android app 验证完整性
weixin_42511315的博客
08-16 356
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1Android App 验证完整性 在当前数字化时代,Android应用程序(App)的安全性显得尤为重要。应用程序的完整性验证不仅可以防止恶意修改,还可以提升用户信任感。本文将介绍And...
apk安全校验
02-07
获取签名证书keystore的SHA1值和完整性校验获取的classes.dex的SHA-1哈希值字符串,防止二次签名和篡改
完整性校验
06-19
完整性校验sha1算法,能够很好的了解完整性校验的过程原理
技术回顾:android应用版本校验以及下载更新
09-23
android工程: 为完整的项目工程,eclipse可直接导入 里面包含完整的android版本校验,下载,安装代码 web端应用 为web工程 解压后可把mobilesafe文件夹拷贝到tomcat\webapps目录中
MD5校验码验证文件的完整性
04-18
从网络下载一个文件,往往在使用之前需要先验证其文件的完整有效性,这个md5生成验证码的工具,就非常实用了。一个放入服务器端的报文中,另一个在代码中使用MD5检验,两边一对比,如果生成字串一致,那么即可说明文件是完整的。
Android完整性校验
Juns_619930524的博客
06-29 3393
一、完整性校验原理 所谓完整性校验就是我们用各种算法来计算一个文件的完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的classes.dex主要由java文件生成的,它是整个apk的逻辑实现。所以我们可以对classes.dex文件进行完整性校验,来保证整个程序的逻辑不被修改
一个简单的apk完整性校验方法
number_cmd9的博客
08-07 4069
一个简单的apk完整性校验方法,客户端打包校验 思路来自我的上级老大哥,因为从网上的搜索发现,很多apk校验是需要基于服务器来提供一个SHA1的校验的,因为apk生成后这个值基本是单一的,也就是仅仅属于这个apk,那么我这里采用的方法就是利用我们打包加密时的key拿到SHA1,然后进行对这个key的SHA1的一个程序校验即可。首先你需要拿到key的SHA1 拿到key的SHA1 话不多说,上步骤; 第一步、打开Android Studio的Terminal工具(不会有人连这个在哪都不知道吧,不会吧不会吧?)
移动安全(4) - Android应用完整性校验
菜鸟的测试世界
04-13 2595
破坏完整性实验 完整性校验的目的就是防止Android客户端程序被篡改/二次打包,下面以篡改资源文件为例来做实验: 1. apk解包 解包命令:java -jar apktool_2.5.0.jar d exampleapp.apk -o out 解包结果: 2. 修改源文件 找到first_layout.xml这个文件,也就是第一个activity的布局文件,里面的button原本显示的文字是Button1,现在修改为Button10-modified 3. 重新打包 打包..
APP 完整性校验
热门推荐
zcmain的专栏
11-06 1万+
app开发完成发布后,难免会对app安全性有所顾及,记录一下app完整性校验的机制来防止app被反编译造成后果。 完整性校验原理    所谓完整性校验就是我们用各种算法来计算一个文件的完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的classes.dex主要由
APK完整性校验代码
muzitest的专栏
08-11 1029
http://security.tencent.com/index.php/opensource/detail/8
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值