Android APK签名

于 2024-09-03 18:18:29 发布
阅读量1.2k 收藏 8
点赞数 31
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36329049/article/details/141868568
版权

Android APK安装时的签名校验原理

Android APK安装时的签名校验原理主要是通过验证APK文件的签名信息来确保APK文件的完整性和来源的可信性。具体过程如下:

  1. 签名生成:开发者使用Android SDK提供的工具生成一个密钥库文件(.keystore),其中包含一个或多个数字证书。然后,使用这些工具将APK文件与数字证书进行关联,生成一个签名文件(如.RSA文件)。

  2. 签名打包:签名文件与APK文件一起打包成最终的APK文件,供用户下载和安装。

  3. 安装时校验:当用户尝试安装APK文件时,Android系统会执行以下校验步骤:

    • 提取签名信息:从APK文件中提取出签名文件(如.RSA文件)和证书信息。
    • 计算摘要:使用与签名时相同的哈希算法(如SHA-256)对APK文件的内容进行哈希计算,得到一个新的摘要。
    • 验证签名:使用证书中的公钥对签名文件中的签名进行解密,得到原始的摘要。然后,将这个解密得到的摘要与刚刚计算出的新摘要进行比较。
    • 检查证书链:验证证书链的有效性,确保证书是由受信任的证书颁发机构(CA)签发的,或者证书链中的某个证书已经预置在Android系统中。

  4. 结果判断:如果签名信息一致且证书链有效,Android系统会认为APK文件是完整且来自可信的开发者,允许用户安装和运行该APK文件。如果签名信息不一致或证书链无效,Android系统会提示用户安装失败或存在潜在风险。

V1到V4签名的异同和特点

签名版本引入时间签名方式安全性兼容性特点
V1 (JAR签名)早期Android版本基于Java签名框架较低广泛- 将整个APK文件作为一个整体进行签名。
- 使用MD5和SHA1哈希算法,以及RSA或DSA加密算法。
- 适用于所有Android系统版本,但安全性较低。
V2 (APK Signature Scheme v2)Android 7.0 (API 24)增量签名较高Android 7.0及以上- 只对APK内容的部分进行签名,提高签名效率和验证性能。
- 使用SHA256哈希算法和ECDSA签名算法。
- 提供对APK文件进行验证和完整性检查的机制。
- 与V1签名共存,确保兼容性。
V3 (APK Signature Scheme v3)Android 9.0 (API 28)进一步增强V2签名更高Android 9.0及以上- 采用更强大的签名算法和更长的密钥长度。
- 仍然采用增量签名方式。
- 提供签名块的完整性保护和签名的附加时间戳。
- 可选使用,应用可同时包含V1、V2和V3签名。
V3.1 (APK Signature Scheme v3+)Android 13V3签名的改进版本更高Android 13及以上- 解决V3签名在轮替方面的一些已知问题。
- 支持SDK版本定位功能,允许轮替定位到平台的更高版本。
- 使用在Android 12或更低版本中无法识别的分块ID。
V4 (APK Signature Scheme v4+)Android 11.0支持ADB增量APK安装特定场景Android 11及以上- 基于Merkle哈希树计算APK的所有字节。
- 完全遵循fs-verity哈希树的结构。
- 签名存储在单独的.apk.idsig文件中,不包含在APK文件中。
- 需要V2或V3签名作为补充,用于ADB增量安装。

总结

从V1到V4,Android APK签名方案不断演进,旨在提高签名效率、安全性和平台兼容性。V1签名作为最早引入的签名方案,虽然兼容性广泛但安全性较低。V2和V3签名通过引入增量签名和更强大的签名算法,显著提升了安全性和验证性能。V3.1签名进一步解决了V3签名在轮替方面的问题。而V4签名则是为了支持ADB增量APK安装而引入的特定场景下的签名方案。开发者应根据自己的应用需求和目标用户群体选择合适的签名方案。

望佑
关注
Apk 签名验证
contrary_的博客
11-26 2796
当app进行反编译后修改,再回编译,若出现闪退的情况时,则有可能是由于程序本身已存在签名验证,才会出现闪退,今天分享如何解决因签名验证而出现的闪退现象。 v:13140310004 q:3251901516 1 阅读签名验证源码 1.打开文件 2.分析Java层,在调用init这个方法里面,是进行按钮以及其他控件的初始化 3.接下来是一个注册函数,判断用户名和密码是否相等,从而弹出不同的提示 4.LoginActivity类继承了BaseActivity,先分析BaseActivity这个类 5.分析onC
apk签名验证实现
BadRer的博客
02-28 1513
前言 在学习的路途中,留下一点痕迹。签名保护的方法很多,我简单实现一下。 使用全局Context private static Context context; @Override protected void onCreate(@Nullable Bundle savedInstanceState) { super.onCreate(savedIns...
验证apk签名方式(V1 || V2)
weixin_34297300的博客
05-30 789
进入SDK\build-tools\28.0.2目录(或者其他版本),该目录有apksigner.bar脚本,我们可以利用它来验证。 在此目录打开命令行。 命令为:apksigner verify -v apk 回车便可以看到信息。 转载于:https://www.cnblogs.com/tangZH/p/10950213.html...
Android验证apk签名
zhengjuqiang的博客
04-26 2404
1.验证apk签名 打开待查看的apk,将其中META-INF文件夹解压出来,得到其中的CERT.RSA文件 $ keytool -printcert -file META-INF/CERT.RSA 2.apk签名 jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkIn] [
APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
Windows版本 Android Apk签名工具
12-01
本篇将详细讲解Windows版本的Android Apk签名工具及其相关知识。 一、Android应用签名的重要性 Android系统要求每个发布到市场的APK文件都必须有一个数字证书签名。这个签名用于验证应用程序的开发者身份,确保应用...
android apk签名工具
02-16
本文将详细介绍Android APK签名工具及其使用方法。 Android Studio,作为官方推荐的集成开发环境,内置了签名工具,允许开发者轻松地为他们的应用签名。描述中提到的"android system signature tool"很可能是指`...
windows下android apk签名工具
02-27
Android应用开发中,APK签名是一个至关重要的步骤,它确保了应用的完整性和来源的可信性。在Windows环境下,开发者通常使用特定的工具来对APK进行签名,以使其能够在Android设备上顺利安装和运行。本文将详细介绍...
基于Prism+HandyControl实现的Android APK签名工具源码,含EXE可执行文件
10-17
标题中的“基于Prism+HandyControl实现的Android APK签名工具源码,含EXE可执行文件”揭示了这个项目的核心内容。这是一个使用Prism框架和HandyControl库开发的工具,专门用于对Android应用程序(APK)进行签名。...
android apk 签名
11-16
### Android APK签名详解 在Android应用开发过程中,为了确保应用程序的安全性和完整性,对APK进行签名是一项必不可少的操作。本文将详细介绍Android APK签名的过程及其涉及的关键工具和技术。 #### 一、生成数字...
关于安卓开发签名校验
qq_40114753的博客
11-14 740
安卓开发签名校验
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
wa2231a的博客
01-29 2682
/** 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = “d0add9987c7c84aeb7198c3ff26ca152”; String nowSignMD5 = “”; try { // 得到签名的MD5 PackageInfo packageInfo = getPackageManager().getPackageInfo( getPackageName(), PackageManager.GET_SIG
Android逆向-基础与实践 (五) 签名校验
最新发布
shuwangyong的专栏
06-23 366
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
Android学习】Android APK 签名原理
bugyinyin的博客
04-08 841
然后,再逐条计算 MANIFEST.MF 文件中每一个块的 SHA1,并经过 BASE64 编码后,记录在 CERT.SF 中的同名块中,属性的名字是 “SHA1-Digest”。使用不同的 key 生成的签名信息会不同,不同的私钥对应不同的公钥,因此最大的区别是签名证书中存放的公钥会不同,所以我们可以通过提取 CERT.RSA 中的公钥来检查安装包是否被重新签名了。一种能产生特殊输出格式的算法,其原理是根据一定的运算规则对原始数据进行某种形式的信息提取,被提取出的信息就被称作原始数据的消息摘要。
聊聊Android签名检测7种核心检测方案详解
wei_java144的博客
10-11 1702
这篇文章只讲Android签名检测,安卓发展到现在,因为国内环境没有谷歌市场,所以很多官方推荐的Api没法使用 ,所以国内的签名检测方式也是“千奇百怪”。发展至今每种方法都有一些绕过或者对抗手段,这些方法很难说就一定准 ,但是我们能做的就是取尽可能的提高攻击者的成本,提升Apk签名检测能力,防止灰黑产进行攻击。基础的什么Java获取签名信息这种基础方案,这里暂时跳过 ,不在过多叙述。
[免费专栏] Android安全之APK应用程序签名异常的检测方法
橙留香Park的博客
08-26 2135
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
AndroidAPK两种签名
2201_75735270的博客
01-12 1304
前几天在研究APK瘦身的相关知识,发现有个很有意思的知识点就是apk签名APK Signature Scheme v2,虽然出来了一段时间,但是这方便真是没做太多的关注,趁着十一刚过的热乎劲撸起袖子干一波。
android apk签名
07-27
Android中,APK签名是一种用于验证应用程序的完整性和来源的安全机制。通过对APK文件进行签名,可以确保应用程序在安装和更新过程中没有被篡改或恶意修改。 Android支持多种应用签名方案,包括v1、v2、v3和v4方案。v1方案是基于JAR签名,是最早引入的签名方案。v2方案是在Android 7.0引入的APK签名方案,提供了更强的安全性和完整性保护。v3方案是在Android 9.0引入的APK签名方案,进一步增强了应用程序的安全性。v4方案是在Android 11.0引入的APK签名方案,提供了更多的功能和安全性。 要对APK进行签名,可以使用命令行工具或者使用Android开发工具包(SDK)提供的工具。一个常见的签名操作是使用Java命令行工具执行签名操作,具体命令如下: ``` java -jar signapk.jar platform.x509.pem platform.pk8 input.apk output.apk ``` 这个命令将使用指定的签名证书和私钥对输入的APK文件进行签名,并生成一个新的已签名APK文件。 通过对APK进行签名,应用程序将获得系统权限。具体的权限可以在AndroidManifest.xml文件中查看,该文件位于frameworks/base/core/res/目录下。如果将应用程序的签名预置到系统中,应用程序将具有更多的系统权限,而如果使用应用程序自身的签名,则只会具有普通权限。 总结起来,APK签名是一种用于验证应用程序完整性和来源的安全机制,在Android中支持多种签名方案。通过对APK进行签名,应用程序可以获得系统权限。 #### 引用[.reference_title] - *1* *3* [android apk 签名(平台和普通签名)](https://blog.csdn.net/topsecrethhh/article/details/103376745)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Android apk签名原理](https://blog.csdn.net/weixin_42600398/article/details/122843107)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

望佑

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值