移动安全(4) - Android应用完整性校验

最新推荐文章于 2023-12-26 17:18:02 发布
最新推荐文章于 2023-12-26 17:18:02 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sally717/article/details/115664388
版权

目录

破坏完整性实验

1. apk解包

2. 修改源文件

3. 重新打包

4. 重新签名

5. 安装重新签名后的apk

 

完整性检查方案

1. 检查摘要文件MANIFEST.MF

2. 校验classes.dex

3. 校验整个apk

 

破坏完整性实验

完整性校验的目的就是防止Android客户端程序被篡改/二次打包,下面以篡改资源文件为例来做实验:

1. apk解包

解包命令:java -jar apktool_2.5.0.jar d exampleapp.apk -o out

 解包结果:

 

2. 修改源文件

找到first_layout.xml这个文件,也就是第一个activity的布局文件,里面的button原本显示的文字是Button1,现在修改为Button10-modified

3. 重新打包

打包命令:java -jar apktool_2.5.0.jar b -f  out -o new.apk

打包完成:

这个包无法直接安装,因为还没有签名,直接安装会报错:

4. 重新签名

java -jar signapk.jar testkey.x509.pem testkey.pk8 new.apk newsign.apk

5. 安装重新签名后的apk

需要先卸载解包前安装的apk,不然会报错。运行app,发现修改成功:

hmmm.....这个就比较危险了,实验中我修改的只是资源文件,解包文件里面也有samil文件,也就是说还可以修改源码,这样的话种个木马,或者反弹个shell是不是也可以实现了。。。

 

完整性检查方案

其实我也不太懂(以后弄明白了再来更新),查了下相关资料,完整性检查的方案: 

1. 检查摘要文件MANIFEST.MF

把修改前的apk解压之后就能找到MANIFEST.MF这个文件:

再把修改之后的apk的这个文件找出来,确实不一样了,而且里面所有文件的签名都不一样:

除了MANIFEST.MF,还可以使用CERT.SF,CERT.RSA

2. 校验classes.dex

 用crc32对classes.dex文件的完整性进行校验,最好将crc32的值存在服务器

3. 校验整个apk

用哈希值对整个apk完整性进行校验,最好将哈希值存在服务器

 

本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。

如需转载,请注明出处,这是对他人劳动成果的尊重。

Sally__Zhang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发自我知识整理——校验APK文件完整性
你所浪费的今天,是昨天死去的人奢望的明天。你所厌恶的现在,是未来的你回不去的曾经!
12-24 1721
项目中遇到需要检测Android应用自动更新问题,不想依赖第三方平台,所以用自定义的方式来实现自动更新,通过请求服务器获取Android应用最新版本信息和本地进行比较,从而判断是否需要更新下载应用,流程基本如下图。
APP安全之APK完整性校验
热门推荐
fuchenxuan blog
05-22 1万+
APP安全之APK完整性校验前言 APK 完整性校验,虽然很难做到绝对的安全,但能提高应用安全性和破解难度。 一、认识APK安全性危害可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息二、完整性校验原理完整性校验的几种方式 CRC校验 MD5值校验 SHA1值校验 常见android完整性检测 检测签名 校验classes.dex 校验整个apk 检测
apk完整性校验-防反编译
GB1183710114的博客
12-26 1891
apk完整性校验文件校验、防反编译
Android APK文件完整性验证
q1165328963的博客
09-01 1134
APK完整性校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
安全测试-AndroidManifest.xml元素分析(1)
qq_34381178的博客
07-27 1295
这个文件中包含了APP的配置信息,系统需要根据里面的内容运行APP的代码,显示界面。❥Contentprovider内容组件,是一种数据共享型组件,用于向其他组件乃至其他应用共享数据(如短信和联系人应用之间的数据共享)。xml元素里面的属性内容,对我们后续进行app包体的安全测试业务有一定帮助,那本章节就先了解到这吧,咋们后面的章节再详细介绍与实践。应用的声明,此元素包含用于声明每个应用组件的子元素,并且具有会影响所有组件的属性。时(如果是申请系统权限,则需要与系统签名相同),才能将权限授给它;......
AndroidManifest.xml文件校验工具
windy_ll的博客
06-02 864
一、前言     前段时间总能碰见AndroidManifest固定字节被篡改的情况,每次都要拿着图一个个去对比那个固定字节处被篡改了,干脆直接写了个校验工具,这里分享给大家,工具没什么技术含量,就是省事。(PS:UI写得丑,将就一下吧) 二、使用实例     PS:一些实际样本不知道丢哪里去了,这里用xctf的apk逆向2来做样本。     1、将AndroidManifest.xml提取出来,然后打开工具,找到文件路径,如下所示:     2、如果xml文件固定字节被篡改了的话,校正按钮就可以变得可
基于SM3的Android文件完整性检测系统.pdf
09-21
SM3算法,全称为“Simple Hash-based Message Authentication Code with 256-bit Output”,是中国自主研发的一种密码散列函数,适用于数字签名、消息认证码(MAC)以及文件完整性校验等领域。它具有高安全性、快速...
Android安全保护.pdf
08-07
Android APP的脆弱性入手,分析恶意APP的工作原理和恶意行为,并针对相关脆弱点分析和总结了APP代码混淆与加壳、完整性校验、代码隐藏等保护措施,例如:通过自定义底层so文件结构、代码混淆、代码反调试、dex文件...
Android应用隐私条例与敏感行为一致性检测.pdf
08-26
Android 应用隐私条例与敏感行为一致性检测是移动应用安全检测的重要方面,本文提出的一种自动化检测工具可以帮助移动应用开发者更好地保护用户隐私,并且可以帮助检测应用隐私条例的一致性问题。
基于Android环境下的数据包校验技术分析.pdf
09-21
随着移动互联网的普及,Android系统在通信领域的广泛应用使得数据传输成为核心任务,但同时也带来了数据安全的风险。本文主要探讨了在Android环境下常用的数据包校验技术,包括奇偶校验、循环冗余校验(CRC)、MD5...
完整性校验
06-19
完整性校验sha1算法,能够很好的了解完整性校验的过程原理
面向Android应用程序的代码保护方法研究.pdf
09-22
通过文件加密、代码混淆、反动态调试、完整性校验以及加壳等技术,有效增强了Android应用安全性。 总的来说,这个面向Android应用程序的代码保护方法不仅具有理论意义,还具有实际应用价值。它能够帮助开发者提高...
Android从零开始-AndroidManifest.xml解析
起风了的专栏
12-28 1994
Android开发从零开始,提供从环境搭建到Android入门的基本教程,旨在引导广大开发者入门,关于Android深入细节等各种技术的学习,还请参考Android官方教程和demo。 官方网站:https://developer.android.com/ Android是一个庞大系统,不仅可以作为手机开发,在车载、电视等都能很好的兼容,无论针对哪种设备开发,核心不变,学好基础才是最重要的。 该章节重点讲解Android配置文件Manifest的各个标签,主要参考google开发者网站关于配置文件的讲
apk应用完整性校验
xianjie0318的博客
07-12 670
java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径 用 SignApk,对未签名的 APK 文件进行签名,命令如下: java -jar signapk.jar testkey.x509.pem testkey.pk8 待签名 apk 文件路径 签名后输出 apk 路径。用 ApkTool,将解包目录重新打包成未签名的 APK 文件,命令如下: java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径。
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 3768
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,防止被重签名和二次打包(采用混淆、验证签名、服务器端验证等技术防范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名。
Android APP应用完整性检查
SunJ3t的菠萝屋
08-09 5102
1. 前言 APK应用完整性移动客户端程序安装后,在每次启动时都会对自身文件进行完整性进行校验。防止攻击者通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。 2. APK应用完整性检查 1. 使用Apktools反编译APK文件 进入apktool文件夹下,输入以下命令,反编译apk文件 apktool d xx...
android 文件完整性md5检验
最新发布
随缘
12-26 653
通过文件流方式校验文件的md5和下载前服务器计算的是否一致,用于大文件下载后确认是否文件存在损坏。
android完整性检测,Android启动将验证系统完整性 根据检查结果发警告
weixin_42306812的博客
05-29 551
雷锋网消息,今天早些时候,谷歌更新了其支持页面,引入了一些新的操作系统安全功能。其能在系统启动时对系统进行验证,并检查软件和系统的完整性。如果检查出现问题,根据检查的结果,该操作系统会在设备启动时在屏幕上显示黄色、红色或橙色三个不同类型的安全警告。黄色:你的系统已经加载了不同的系统。橙色:无法检查你的设备软件损坏情况,请锁定引导程序。红色:你的设备已损坏。不能被信任,可能无法正常工作。该文件称,这...
Android完整性校验
Juns_619930524的博客
06-29 3169
一、完整性校验原理 所谓完整性校验就是我们用各种算法来计算一个文件完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的classes.dex主要由java文件生成的,它是整个apk的逻辑实现。所以我们可以对classes.dex文件进行完整性校验,来保证整个程序的逻辑不被修改
app 完整性校验方法
05-19
4. 安全沙箱技术:安全沙箱技术可以将应用程序运行在一个受限的环境中,以防止应用程序被恶意攻击者篡改或者利用漏洞进行攻击。 综上所述,以上方法都可以用来保证应用程序的完整性。在实际应用中,可以根据应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值