Android如何把签名校验做到极致

最新推荐文章于 2025-02-04 06:35:47 发布
最新推荐文章于 2025-02-04 06:35:47 发布
阅读量6.9k 收藏 53
点赞数 18
分类专栏: Android开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40948137/article/details/115866451
版权

为何你的应用老是被破解,该如何有效的做签名校验?

前言

上一篇发了个简单的NDK实现的签名校验,众所周知,签名校验是防止二次打包最普遍的方式。下面是常见的签名校验方法:

/**
 * 做普通的签名校验
 */
private boolean doNormalSignCheck() {
   
    String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152";
    String nowSignMD5 = "";
    try {
   
        // 得到签名的MD5
        PackageInfo packageInfo = getPackageManager().getPackageInfo(
                getPackageName(),
                PackageManager.GET_SIGNATURES);
        Signature[] signs = packageInfo.signatures;
        String signBase64 = Base64Util.encodeToString(signs[0].toByteArray());
        nowSignMD5 = MD5Utils.MD5(signBase64);
    } catch (PackageManager.NameNotFoundException e) {
   
        e.printStackTrace();
    }
    return trueSignMD5.equals(nowSignMD5);
}

系统将应用的签名信息封装在 PackageInfo 中,调用 PackageManager 的 getPackageInfo(String packageName, int flags) 即可获取指定包名的签名信息。这个并不用我多说了,如果没听过的话,用搜索引擎找一下「Android 签名校验」,花上几分钟就明白了,很容易的。
目前看起来很好

1.使用通用工具去除我们先前的校验

很多人可能不知道,去除简单的签名校验连小朋友都能做到!
太可怕了
下面请看具有「安全性测试」功能的「MT管理器」上场,一键去除我们上文准备好的受害者的签名校验:
一键去除签名校验演示
神奇的一幕发生了,居然还是通过,也就是我们刚才的操作形同虚设,我们把被破解后的安装包传回 PC,准备下一步分析

2.JADX 上场

为了知道他做了什么,我们需要逆向出目前受害者的代码。这里我们使用开源项目「jadx」来完成。

打开 jadx 之后会直接弹出「打开」对话框,选取被破解的 apk 即可:
JADX打开文件
简单对比下可以发现,多了一个HookApplication类
对比代码
点击进去即可直接看见源代码:

package bin.mt.apksignaturekillerplus;

public class HookApplication extends Application implements InvocationHandler {
   
    private static final int GET_SIGNATURES = 64;
    private String appPkgName = BuildConfig.FLAVOR;
    private Object base;
    private byte[][] sign;

    private void hook(Context context) {
   
        try {
   
            DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode("省略很长的签名 base64", 0)));
            byte[][] bArr = new byte[(dataInputStream.read() & 255)][];
            for (int i = 0; i < bArr.length; i++) {
   
                bArr[i] = new byte[dataInputStream.readInt()];
                dataInputStream.readFully(bArr[i]);
            }
            Class cls = Class.forName("android.app.ActivityThread");
            Object invoke = cls.getDeclaredMethod("currentActivityThread", new Class[0]).invoke(null, new Object[
最低0.47元/天 解锁文章
Android OTA 更新面试题及参考答案
大模型大数据攻城狮的专栏
11-27 861
OTA 更新即空中下载技术(Over-the-Air Technology)更新,是一种通过无线网络对移动设备的系统软件或应用程序进行远程更新的技术手段。其原理是设备通过移动网络或 Wi-Fi 连接到服务器,服务器检测设备上可更新的软件版本,当有新的版本时,将更新包发送到设备上。设备接收后,在后台自动完成更新包的下载、安装等一系列操作,无需用户手动下载完整的系统镜像或应用安装包并通过数据线等方式进行安装。例如,当手机厂商推出新的安卓系统版本或安全补丁时,就会通过 OTA 方式推送给用户。
Android热修复技术总结
xiangzhihong8的专栏
08-30 1万+
插件化和热修复技术是Android开发中比较高级的知识点,是中级开发人员通向高级开发中必须掌握的技能,插件化的知识可以查我我之前的介绍:Android插件化。本篇重点讲解热修复,并对当前流行的热修复技术做一个简单的总结。热修复什么是热修复?简单来讲,为了修复线上问题而提出的修补方案,程序修补过程无需重新发版!技术背景在正常软件开发流程中,线下开发->上线->发现bug->紧急修复上线。不过对于这种方
android签名验证,研究反MT管理器增强版的去除签名校验
weixin_35338620的博客
05-30 2943
publicString getApkSignatureModules(Context context, String apkPath){String sign = null;try{Class clazz = Class.forName("android.content.pm.PackageParser");Object packageParser = getParserObject(cla...
如何在Android中增加自己的应用签名校验
myvest的专栏
12-06 8285
需求:在android原本的签名校验系统中,添加自己的校验过程。Android使用Java的数字证书相关的机制来给apk加盖数字证书,要理解Android数字证书,需要先了解以下数字证书的概念和java的数字证书机制。1、基础概念数字证书:数字证实是采用数字手段来证实用户身份的一种方法。数字证书含有两部分数据:一部分是对应主体(单位或个人)的信息,另一部分是这个主体所对应的公钥。即数字证书保存了主体
Android应用程序的签名
最新发布
2501_90392068的博客
02-04 947
程序中的名为run的target的depends属性compile,而名为compile的target的depends属性是prepare,所以这几个target执行的顺序是prepare->compile->run。-----------------------------------------------------------------------------------以下为转载---------------------------------------------------
Android利用反射进行较强的签名校验
m0_47587308的博客
06-06 1451
常见签名校验 一般来说,签名校验的方式有以下几种 通过安卓提供的api,利用packagemanager获取签名数据,和已存的正确值进行对比 在native中,反射Java的api,进行对比,本质上和1相同 自己读取apk文件,解压,校验META-INF里的RSA文件 第一种和第二种,是大多数软件在用的,但是很容易被逆向者过掉,甚至有工具可以一键过掉。 第三种校验的准确性更高,缺点是效率低、易发生错误,并且v1以上的签名之后,并不生成RSA文件。那么校验文件也就不可取了。 这是常见的签名校验的示
安卓应用签名校验
xiaomudouer的博客
03-15 1134
问题:app程序未对签名证书进行校验,被其他证书重新签名可正常启动 apk打包签名思路: Build -> Generate Signed Bundle/APK -> APK -> Create New 创建一个新的证书 (也可以选择一个已有的证书)->ok -> 选择生成的APK文件所在目录、选择apk版本 第1步就是我们打包的常规步骤 第2步用第三方梆梆软件加固 第3步将加固的apk进行第三方软件签名 将apk文件解压,在META-INF文件中可找到签名文件,文件后缀为.
安卓,应用签名校验
scimence的专栏
01-02 3205
签名校验原理:       安卓应用程序,使用apkTool.jar,或其他反编译工具很容易被篡改。       为了保证应用程序未被别人修改过,可以在应用中添加签名信息校验逻辑。(当应用被反编译再重新打包后,签名信息无法与我们使用的签名保持一致,进而签名校验不会成功)我们可以在签名校验失败时让其自动退出,或执行我们希望的任意逻辑... 签名验证逻辑: package com.sc.s...
拯救OOM!字节自研 Android 虚拟机内存管理优化黑科技 mSponge(1)
2401_84149916的博客
04-20 839
为了便于更好地理解,我们将整个方案分为 2 个部分进行介绍。一期方案:主要介绍在 Java 大对象通过 LargeObjectSpace 的内存申请和释放过程中,如何在内存申请和释放过程对其进行改造,以脱离虚拟机对这些对象的内存管理,最后实现 LargeObjectSpace 占用的内存完全脱离虚拟机内存统计。二期方案:针对一期方案需要在应用运行过程中提前开启,但是线上 99%以上运行过程中可能不会发生 OOM,因此一期方案对系统的侵入有点高。
CreepyCodeCollection:荒诞神秘的Android源码集
这里的代码集被描述为“无味的恶心代码集”,可能指的是代码集中的代码尽可能地压缩,追求极致的简洁性,这在代码高尔夫中是常见的一种追求。代码的简洁性可能会牺牲可读性和可维护性,从而让代码变得晦涩难懂,甚至...
Android校验应用签名是否被篡改
q957789074的博客
07-12 4726
Android校验应用签名是否被篡改1.获取应用签名校验MD5或者SHA1/** * 检测签名 */ private boolean checkSignature() { Context context = WXApplication.getInstance(); try { PackageInfo packag...
应用签名、包名
03-26
获取手机上应用签名,一键复制,查看,系统应用,用户应用(此工具为网上下载,非个人)
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
01-05
最近做安卓项目中使用到了百度地图的API,在申请百度地图key的时候,需要我们填入“签名的SHA1”和“客户端包名”,然后百度为我们生成一个key。 于是就引发了思考,百度为何需要我们客户端签名的SHA1值呢? 第一想法就是:百度拿我们输入的参数SHA1和包名进行一些列算法计算,生成一个key返回给我们。 为了证明这个想法,写了demo进行测试,android获取包名的方法很简单,但是我们还需要从客户端中获取keystore的指纹SHA1。 进行各种资料的查找和分析,才得出方法。 一、首先,科普一下apk包下的META-INF目录 我们已经知道的是:Android对每一个Apk文件都会进行签名
java签名源码-ApkSignatureKiller:一键破解APK签名校验
06-05
java签名源码 一键破解APK签名校验 参考自,在其基础上进行了部分改进,并用纯 Java 实现。 原理 通过插入代码到 Application 入口,hook 了程序中 PackageManager 的 getPackageInfo 方法,改变了其获取到的签名信息。 处理步骤 读取原APK的签名信息。 替换或添加 AndroidManifest.xml 中 application 的 name 属性。 读取 PmsHookApplication.smali 并替换签名信息,如果原 APK 自定义了 Application,还需要修改 PmsHookApplication 的父类,最后编译 smali 并添加到 classes.dex 中。 对输出的APK进行签名。 使用方法 使用本工具需要先安装 Java 环境,nkstool.jar 是已编译好的文件。 按需修改 config.txt 中的配置信息,把相应apk放到项目根目录。 运行,三种方式 用 IDEA 打开项目并运行源码。 Windows 系统可以直接打开 run.bat 执行。 Linux 或 MacOS 系统中,打开终端
Android中如何进行签名校验和完整性校验
热门推荐
Martin.Mu `s Special Column
11-27 1万+
前言 签名校验和完整性校验主要是针对于二次打包的检测防范措施,如果没有签名校验和完整性校验功能,应用可能被恶意攻击者二次打包,被盗版的风险大大增加,同时也可能进行任意代码修改。 针对上面的问题,这章我们就对我们的App进行运行时签名校验。 准备 项目代码 项目代码的主要实现类SignatureChecker,欢迎查看。 验证默认签名信息 1.获取应用的APK 在编写好项目以后,我们通过点击bui...
BCrypt对密码进行加密及密码验证
tanwenfang的博客
09-15 1万+
1,例子 先看一下BCrypt的加密及验证的代码: 先引入jbcrypt-0.4.jar,下载地址:https://download.csdn.net/download/phpfzh/9789560 import org.mindrot.jbcrypt.BCrypt; public class BCryptTest { public static void main(Strin...
android应用标签未完善,Ionic Android进行签名校验验证-应用签名校验风险的讲解...
weixin_28697603的博客
05-26 975
Ionic签名校验验证1. 为什么要进行签名校验2. 查看安卓证书信息3. 编写检验文件3.1 编写校验文件`SignCheck.java`3.2 修改MainActivity.java3.3 其他方案4. 打包4.1 移除android平台4.2 增加android平台版本4.3 覆盖`MainActivity.java`4.4 使用证书进行打包5. 打包完成安装apk6. 加固原理1. 为什么...
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
wa2231a的博客
01-29 2797
/** 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = “d0add9987c7c84aeb7198c3ff26ca152”; String nowSignMD5 = “”; try { // 得到签名的MD5 PackageInfo packageInfo = getPackageManager().getPackageInfo( getPackageName(), PackageManager.GET_SIG
最常见的Android签名校验
m0_47587308的博客
10-05 2011
将Signature对象转化为MD5字符串的方法
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值