Android中如何进行签名校验和完整性校验

最新推荐文章于 2024-05-08 18:09:58 发布
最新推荐文章于 2024-05-08 18:09:58 发布
阅读量1.8w 收藏 29
点赞数 7
分类专栏: 安全与逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011195398/article/details/84567580
版权

前言

签名校验和完整性校验主要是针对于二次打包的检测防范措施,如果没有签名校验和完整性校验功能,应用可能被恶意攻击者二次打包,被盗版的风险大大增加,同时也可能进行任意代码修改。

针对上面的问题,这章我们就对我们的App进行运行时签名校验。

准备

项目代码
项目代码的主要实现类SignatureChecker,欢迎查看。

验证默认签名信息

1.获取应用的APK

  • 在编写好项目以后,我们通过点击build->build apk.
  • 文件在项目的app/build/outputs/apk/debug/app-debug.apk
    在这里插入图片描述

2. 获取调试应用的keystore

  • 打开finder程序,Go -> Home -> ./android/debug.keystore
    在这里插入图片描述
  • 签署您的应用
  • 使用keytool命令查看android模式调试debug.keystore的签名信息,默认密码为空
    在这里插入图片描述
    命令:keytool -list -v -keystore debug.keystore

3.信息对比

  • 检查apk文件中的签名信息
    在这里插入图片描述
    上面的检查命令:keytool -printcert -file CERT.RSA

  • 对比信息在这里插入图片描述
    在这里完全可以看出,我们的apk默认的是经过androidstudio的debug.keystore来签名过的APK。

对APK进行重新签名

创建两个keystore

  • 创建两个KeyStore分别命名keyStoreAkeyStoreB
    在这里插入图片描述
  • 创建一个未签名的Apk,命名为app-release-unsigned
    签名_生成未签名APK

对APK进行签名

  • 使用KeyStoreA文件对app-release-unsigned进行签名,签名后的APK为app-release-keystoreA
jarsigner -verbose -keystore /Users/martin/Downloads/newsign/keystore/keystoreA -signedjar /Users/martin/Downloads/newsign/des/app-release-keystoreA.apk /Users/martin/Downloads/newsign/src/app-release-unsigned.apk android
命令解析

jarsigner的参数说明

  • keystore 参数指定您的私钥的绝对路径,例如:/Users/martin/Downloads/newsign/keystore/keystoreA
  • signedjar 参数指定签名后apk文件存放绝对的路径,例如 /Users/martin/Downloads/newsign/des/app-release-keystoreA.apk
  • [未签名的文件路径] 指定要签名apk文件的绝对路径,也就是您从我们这里下载到的,例如 /Users/martin/Downloads/newsign/src/app-release-unsigned.apk
  • [您的证书名称] 是指您创建密钥时您设置的证书名称

PS:参考MAC对APK包进行重新签名

签名成功:
签名_keystoreA签名

删除APK的签名信息并重新打包

  • 解压app-release-keystoreA删除META-INFO文件夹下的三个文件

    • ANDROID.RSA
    • ANDROID.SF
    • MANIFEST.MF
      在这里插入图片描述
      注意:这里的三个文件的名称因为工具的原因可能会根据改变,我们删除的时候,看他的后缀名称就好。

  • 重新打包删除后的app-release-keystoreA文件,后缀名改为APK。
    签名_打包移动APK

  • 使用我们的keyStoreBapp-release-keystoreA进行重新签名,生成app-release-keystoreB

jarsigner -verbose -keystore /Users/martin/Downloads/newsign/keystore/keystoreB -signedjar /Users/martin/Downloads/newsign/des/app-release-keystoreB.apk /Users/martin/Downloads/newsign/src/app-release-keystoreA.apk androidx

最低0.47元/天 解锁文章
Martinmu2013
关注
  • 7
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
wa2231a的博客
01-29 2584
/** 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = “d0add9987c7c84aeb7198c3ff26ca152”; String nowSignMD5 = “”; try { // 得到签名的MD5 PackageInfo packageInfo = getPackageManager().getPackageInfo( getPackageName(), PackageManager.GET_SIG
app运行时签名校验
Yzw_92_4_11的博客
05-12 2428
有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。 因为会经常用到,所以在这里整理了一下校验方式。 public class SignCheck { private Context context; private String cer = null; private String realCer = null; priva
Android 阿里内部机密资料 安全机制 反编译与混淆 加密原理
深南大盗的博客
03-17 2662
一.数据存储安全问题 二.数据传输安全问题 三.Apk被反编译安全问题 四. 组件安全 五.安卓系统本身的安全 一.数据存储安全问题 内存缓存在这些场景下非常有用:当你从服务端获取到数据并想将这些数据保存在一段时间内有效,或者你在处理bitmaps 位图时想使用其他地方已经处理好的图片,或者你想保存一些用户数据,用户标识等等。 举个例子,怎么在内存缓存创建一个临时文件: &...
Android-APK防止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验
最新发布
2401_84563179的博客
05-08 1087
对于很多初Android工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。整理的这些架构技术希望对Android开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。下面是部分资料截图,诚意满满:特别适合有开发经验的Android程序员们学习。不论遇到什么困难,都不应该成为我们放弃的理由!如果你看到了这里,觉得文章写得不错就给个赞呗?
android程序证书签名校验的方法
阿弥陀佛
04-28 505
android程序证书签名校验的方法一 2013-02-26 09:56:22| 分类: android逆向技巧 |举报 |字号 订阅 (1)、将证书进行base64编码,并将编码后的字符串保存在程序; (2)、将证书签名(MD5或SHA1值)进行对称算法加密(比如:DES),然后将加密后的结果和对称算法密钥放在一起,再使用证书的private key 对其加密,将加密后的...
[免费专栏] Android安全之APK应用程序签名异常的检测方法
橙留香Park的博客
08-26 2065
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Android如何把签名校验做到极致
qq_40948137的博客
04-19 5504
为何你的应用老是被破解,该如何有效的做签名校验? 前言 上一篇发了个简单的NDK实现的签名校验,众所周知,签名校验是防止二次打包最普遍的方式。下面是常见的签名校验方法: /** * 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152"; String nowSignMD5 = ""; try { // 得到签
关于安卓开发签名校验
qq_40114753的博客
11-14 694
安卓开发签名校验
Android 签名&校验
tq501501的博客
01-07 1707
Android 签名校验 签名校验Android 安全性非常重要的一项。在build apk时或是制作OTA包时都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译时签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
08-31
SHA1(Secure Hash Algorithm 1)是一种广泛使用的哈希函数,它能将任意长度的数据转化为固定长度的摘要,通常用于数据的完整性校验。在Android,SHA1签名主要用于确认应用未被篡改。当开发人员创建一个APK并签署...
去APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序(APK)签名完整性和安全性的软件工具。在Android系统,每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程,确保开发者身份的可追溯性,同时...
Android对资源和权限进行校验代码例子
08-29
Android对资源和权限进行校验代码例子。用于演示app在运行时对硬件资源、存储资源、剩余流量进行合法性校验,还演示了app对定位权限、拍照权限、录音权限等功能进行合法性校验
android对文件的MD5验证
08-31
能够独立编译运行的android的MD5验证程序
apk安全性校验
02-07
本文将深入探讨如何进行APK的签名证书校验和完整性校验,以及SHA-1哈希值在其的作用。 首先,我们要理解APK的签名过程。在APK发布前,开发者需要使用私钥对APK进行签名,这一步骤生成了签名证书。签名的主要目的...
java生成及验证android签名文件源码及生成签名文件
09-05
Android应用开发,安全是至关重要的一个...6. Android签名过程:确保应用完整性和安全性,用于APK的发布和验证。 通过理解这些核心概念和源码,开发者可以更好地掌控Android应用签名流程,提高应用的安全性。
android MD5签名生成器
11-16
用户可以解压文件,按照说明运行工具,输入自己的APK包名,获取并记录MD5值,以便在后续的分发和安装过程进行验证。 总的来说,Android MD5签名生成器是一个实用的开发工具,它简化了验证APK文件完整性的过程,...
Android签名校验机制
gavin109的专栏
09-10 790
Android系统签名主要有ROM签名应用程序APK签名两种形式。ROM签名是针对已经生成的Android系统ROM包进行签名应用程序APK签名是针对开发者开发的应用程序安装包APK进行签名。前者是对整个Android系统包签名,后者只对Android系统一个应用程序APK签名
android检测签名代码,用JNI的方式来检测Android Service Hook爆破签名校验
weixin_35965051的博客
05-26 456
int isHookPMS(JNIEnv *env){jobject cPMSO = getCurrentPMSObject(env);jclass cPMSC = (*env)->GetObjectClass(env, cPMSO);jclass cPMSFC =(*env)->GetSuperclass(env,cPMSC);jclass proxyClass = (*env)-&...
android签名验证,研究反MT管理器增强版的去除签名校验
weixin_35338620的博客
05-30 2643
publicString getApkSignatureModules(Context context, String apkPath){String sign = null;try{Class clazz = Class.forName("android.content.pm.PackageParser");Object packageParser = getParserObject(cla...
android 签名校验
06-07
Android 签名校验是指在 Android 应用安装时,检查应用是否被篡改或者来自于可信的开发者。每个 Android 应用都必须使用数字证书进行签名,以确保应用完整性和安全性。 在 Android 应用安装时,系统会检查应用的数字证书是否与系统已知的证书相匹配。如果证书不匹配或者证书无效,系统会提示用户应用可能不安全,并且要求用户确认是否继续安装。 开发者可以使用 Android Studio 或者命令行工具对应用进行签名签名过程,开发者需要提供一个私钥和一个证书,用于对应用进行数字签名签名完成后,开发者需要将证书发布到公共信任机构,以确保应用被认为是可信的。 总之,Android 签名校验Android 系统保证应用安全性的重要措施之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值