Android中如何进行签名校验和完整性校验

最新推荐文章于 2025-03-13 12:55:04 发布
最新推荐文章于 2025-03-13 12:55:04 发布
阅读量1.9w 收藏 28
点赞数 7
分类专栏: 安全与逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011195398/article/details/84567580
版权
本文详细介绍了在Android中如何进行签名校验和完整性校验,以防止应用被二次打包和盗版。首先,通过获取APK和keystore信息进行默认签名验证,然后演示如何使用不同keystore对APK重新签名。接着,通过比较不同keystore签名的MD5值进行防盗版验证,并在运行时进行签名校验。最后,提供了关键代码和参考资料。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

签名校验和完整性校验主要是针对于二次打包的检测防范措施,如果没有签名校验和完整性校验功能,应用可能被恶意攻击者二次打包,被盗版的风险大大增加,同时也可能进行任意代码修改。

针对上面的问题,这章我们就对我们的App进行运行时签名校验。

准备

项目代码
项目代码的主要实现类SignatureChecker,欢迎查看。

验证默认签名信息

1.获取应用的APK

  • 在编写好项目以后,我们通过点击build->build apk.
  • 文件在项目的app/build/outputs/apk/debug/app-debug.apk
    在这里插入图片描述

2. 获取调试应用的keystore

  • 打开finder程序,Go -> Home -> ./android/debug.keystore
    在这里插入图片描述
  • 签署您的应用
  • 使用keytool命令查看android模式调试debug.keystore的签名信息,默认密码为空
    在这里插入图片描述
    命令:keytool -list -v -keystore debug.keystore

3.信息对比

  • 检查apk文件中的签名信息
    在这里插入图片描述
    上面的检查命令:keytool -printcert -file CERT.RSA

  • 对比信息在这里插入图片描述
    在这里完全可以看出,我们的apk默认的是经过androidstudio的debug.keystore来签名过的APK。

对APK进行重新签名

创建两个keystore

  • 创建两个KeyStore分别命名keyStoreAkeyStoreB
    在这里插入图片描述
  • 创建一个未签名的Apk,命名为app-release-unsigned
    签名_生成未签名APK

对APK进行签名

  • 使用KeyStoreA文件对app-release-unsigned进行签名,签名后的APK为app-release-keystoreA
jarsigner -verbose -keystore /Users/martin/Downloads/newsign/keystore/keystoreA -signedjar /Users/martin/Downloads/newsign/des/app-release-keystoreA.apk /Users/martin/Downloads/newsign/src/app-release-unsigned.apk android
命令解析

jarsigner的参数说明

  • keystore 参数指定您的私钥的绝对路径,例如:/Users/martin/Downloads/newsign/keystore/keystoreA
  • signedjar 参数指定签名后apk文件存放绝对的路径,例如 /Users/martin/Downloads/newsign/des/app-release-keystoreA.apk
  • [未签名的文件路径] 指定要签名apk文件的绝对路径,也就是您从我们这里下载到的,例如 /Users/martin/Downloads/newsign/src/app-release-unsigned.apk
  • [您的证书名称] 是指您创建密钥时您设置的证书名称

PS:参考MAC对APK包进行重新签名

签名成功:
签名_keystoreA签名

删除APK的签名信息并重新打包

  • 解压app-release-keystoreA删除META-INFO文件夹下的三个文件

    • ANDROID.RSA
    • ANDROID.SF
    • MANIFEST.MF
      在这里插入图片描述
      注意:这里的三个文件的名称因为工具的原因可能会根据改变,我们删除的时候,看他的后缀名称就好。

  • 重新打包删除后的app-release-keystoreA文件,后缀名改为APK。
    签名_打包移动APK

  • 使用我们的keyStoreBapp-release-keystoreA进行重新签名,生成app-release-keystoreB

jarsigner -verbose -keystore /Users/martin/Downloads/newsign/keystore/keystoreB -signedjar /Users/martin/Downloads/newsign/des/app-release-keystoreB.apk /Users/martin/Downloads/newsign/src/app-release-keystoreA.apk androidx

签名_keystoreB签名

防止APP被盗版验证

KeyStoreA和KeyStoreB的签名MD5比较

  • 安装keystoreA签名过的APK文件。
adb install -r /Users/martin/Downloads/newsign/des/app-release-keystoreA.apk

生成MD5值:

8ad65c2224d9c303250c7c49a3672323
  • 修改签名,使用KeyStoreB重新签名
    命令:
adb install -r /Users/martin/Downloads/newsign/des/app-release-keystoreA.apk

生成MD5值:

8fe878055ba594ee41ba8a4b2e0ca3e5

签名_A和B的签名信息比较
注意:这里的MD5值不和KeyStore显示的格式一样,是因为我格式再次进行了MD5加密。

可以看出来,即使是同样的APK,但是使用不同的签名还是会出现不同的APK值。所以,我们可以在应用中做校验,当MD5值不一样时,就不是官方正版的APK了。</

最低0.47元/天 解锁文章
Android签名校验机制
gavin109的专栏
09-10 892
Android系统签名主要有ROM签名应用程序APK签名两种形式。ROM签名是针对已经生成的Android系统ROM包进行签名应用程序APK签名是针对开发者开发的应用程序安装包APK进行签名。前者是对整个Android系统包签名,后者只对Android系统中一个应用程序APK签名
android签名校验代码,Android签名验证解析
weixin_31591833的博客
05-26 1663
1、本文主要内容知识回顾签名验证解析总结本文介绍下Android安装apk时,对签名的验证过程2、知识回顾在Android签名过程详解一文中,我已经详细说明签名的过程以及为什么要这么做,一起回顾下,当签名完成后,生成的3个文件分别有什么作用:对Apk中的每个文件做一次算法(数据摘要+Base64编码),保存到MANIFEST.MF文件中对MANIFEST.MF整个文件做一次算法(数据摘要+Bas...
Android APK签名及修改工具实战指南
最新发布
weixin_42181686的博客
03-13 1750
APK签名Android应用发布过程中的一个关键步骤,它确保了应用完整性和来源的真实性。通过签名,开发者可以将个人身份与APK文件关联起来,这样当应用安装到用户设备上时,系统可以验证其来源,并确保应用自生成以来未被篡改。签名使用的是开发者持有的密钥对,包括一个公钥和一个私钥。公钥包含在APK文件内,而私钥则严格保密。在Android平台上,有两种主要的签名方案:V1方案和V2方案。V1方案是较早引入的,它通过给APK的各个部分分别签名,并将签名信息存储在META-INF目录中。
app运行时签名校验
Yzw_92_4_11的博客
05-12 2576
有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。 因为会经常用到,所以在这里整理了一下校验方式。 public class SignCheck { private Context context; private String cer = null; private String realCer = null; priva
安卓应用签名校验
scimence的专栏
01-02 3206
签名校验原理:       安卓应用程序,使用apkTool.jar,或其他反编译工具很容易被篡改。       为了保证应用程序未被别人修改过,可以在应用中添加签名信息校验逻辑。(当应用被反编译再重新打包后,签名信息无法与我们使用的签名保持一致,进而签名校验不会成功)我们可以在签名校验失败时让其自动退出,或执行我们希望的任意逻辑... 签名验证逻辑: package com.sc.s...
Android 签名&校验
tq501501的博客
01-07 1881
Android 签名校验 签名校验Android 安全性中非常重要的一项。在build apk时或是制作OTA包时都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译时签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
Android签名签名校验
Shawn_Dut的专栏
09-27 5287
Keytool 是一个有效的安全钥匙和证书的管理工具.  Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。  Keytool 把钥匙和证书储
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
08-31
SHA1(Secure Hash Algorithm 1)是一种广泛使用的哈希函数,它能将任意长度的数据转化为固定长度的摘要,通常用于数据的完整性校验。在Android中,SHA1签名主要用于确认应用未被篡改。当开发人员创建一个APK并签署...
Android V2签名校验原理分析
逍遥阁
09-02 7082
【前言】 V1签名作为一种历史悠久的签名方式,弊端也是比较明显的,一方面由于V1签名是对Apk内的单个文件逐一计算摘要进行签名校验的,所以要是Apk内的文件比较多,计算速度是非常慢的,同时又因为只对单个文件的完整性进行校验,那么对apk压缩包包体进行篡改的话,签名依然还是可以校验通过,完整性校验工作做得不够到位。到了Android 7.0,V2签名方式就应运而生,V2签名一种全文件签名方案,它对压缩包的三大基本组成部分:数据区、中央目录记录区、中央目录记录结尾区进行分块,每小块 1MB,然后并行计
去APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序(APK)签名完整性和安全性的软件工具。在Android系统中,每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程,确保开发者身份的可追溯性,同时...
APK签名完整性双重校验技术揭秘
综上所述,通过对APK进行签名证书校验和完整性校验,可以大大提升Android应用的安全性。这涉及到Android开发和安全领域的多个知识点,包括数字签名、哈希算法、密钥管理等,对于保障用户的安全和提升应用的可靠性至...
Android签名证书文件的解析和签名校验的加强
01-10
Android签名证书文件的解析和签名校验的加强
android 签名校验,Android5.0以上APP签名校验
weixin_39888412的博客
05-27 331
工作需要需要对App进行签名校验,项目基于5.1开发。流程是提取一个现有app提取签名作为验证码,对未安装应用获取签名进行对比校验。提取已安装应用签名public static String getSingInfo(String pkgName, Context c) {try {PackageInfo packageInfo = c.getPackageManager().getPackage...
Android逆向-基础与实践 (五) 签名校验
shuwangyong的专栏
06-23 1231
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验、apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名的 Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
Android 签名验证
Men-DD
08-30 2211
Android 签名验证: 签名好了,用下面的可以验证是否签名成功 blog: keytool -genkey -alias signapk.keystore -keyalg RSA -validity 20000 -keystore signapk.keystore blog: jarsigner -verbose -keystore signapk.keystore -sig
android 签名验证
小河流水
08-31 592
/** * 签名算法 */public static final String SIGNATURE_ALGORITHM = "MD5withRSA"; /** * RSA最大解密密文大小 */ public static final String KEY_ALGORITHM = "RSA";public static String sign(byte[] data, String priva
关于安卓开发签名校验
qq_40114753的博客
11-14 793
安卓开发签名校验
Android中的签名验证(1)
╰☆╮EvilCode的专栏╭☆╯
06-30 853
<br />     Android系统要求所有安装应用程序必需有数字签名。否则系统将不会安装和运行没有合适的签名许可的程序。无论是在设备还是模拟器上都必须给你的程 序建立签名才可以调试运。这是所有Android开发人员都懂得的道理。但是什么是数字签名,其中的原理是什么呢?我并不了解。所有趁有空,查了查相关的 知识。 <br />     在介绍Android,我们要了解密码学的基本知识:加密。请看对加密技术的一点 总结(1) <br />     而在Gphone上的数字签名不仅存在于所有安
最常见的Android签名校验
m0_47587308的博客
10-05 2011
将Signature对象转化为MD5字符串的方法
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值