Android编译系统分析六:apk签名的过程分析

最新推荐文章于 2021-09-22 23:06:00 发布
最新推荐文章于 2021-09-22 23:06:00 发布
阅读量2.1k 收藏 9
点赞数 1
分类专栏: Android编译系统 文章标签: Android build sign align
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011913612/article/details/53022778
版权

Android编译系统分析系列文章已经是第六篇了,随着时间的流逝,随着工作中接触编译系统越来越多,对Android编译系统的理解也在一点点加深,这是令人欣慰的地方。最近遇到了系统apk签名的问题,于是专门分析了下签名部分的逻辑,将分析结果做个记录。
下面是其他五篇分析Android编译系统的文章,感兴趣的可以看下:
android编译系统分析(一)-source build/envsetup.sh与lunch
Android编译系统(二)-mm编译单个模块
android编译系统分析(三)-make
android编译系统(四)-实战:新增一个产品
Android编译系统分析(五)-system.img的生成过程

我们知道,当我们执行mm或者其他命令编译一个模块的时候,会在out\target\product\xxx\obj\APPS\xxxx生成三个apk,它们分别是:package.apk,package.apk.unaligned,package.apk.unsigned。其中package.apk应当是已经签过名的apk,package.apk.unsigned是没有签过名的apk,package.apk.unaligned是指没有使用zipalign工具优化过的apk,zipalign优化过的apk具有更高的效率。然而,按理讲package.apk是签过名的apk,可是,当我拿着这个apk来安装的时候,提示安装失败,重新使用自己的签名文件(系统也是使用该签名文件的,但不是build系统中默认的签名文件)进行签名后又可以安装,这是为什么呢?
package.apk确实是签过名的,可是当我们执行mm命令编译的时候,它是使用默认的系统签名文件签名的,如果一个公司使用它自己的签名文件给系统所有apk签名,就需要修改默认的系统签名文件的路径,改为自己的签名文件的路径,可是怎么改呢?
在我前面的博客: Android编译系统分析二:mm编译单个模块 一文中,我们分析了编译一个模块的具体过程,如果对编译一个模块不太清楚可参考下。当我们编译一个模块的时候,在package_internal.mk文件中,会有签名的相关逻辑:


# Pick a key to sign the package with.  If this package hasn't specified
# an explicit certificate, use the default.
# Secure release builds will have their packages signed after the fact,
# so it's ok for these private keys to be in the clear.
ifeq ($(LOCAL_CERTIFICATE),)
    LOCAL_CERTIFICATE := $(DEFAULT_SYSTEM_DEV_CERTIFICATE)
endif

ifeq ($(LOCAL_CERTIFICATE),EXTERNAL)
  # The special value "EXTERNAL" means that we will sign it with the
  # default devkey, apply predexopt, but then expect the final .apk
  # (after dexopting) to be signed by an outside tool.
  LOCAL_CERTIFICATE := $(DEFAULT_SYSTEM_DEV_CERTIFICATE)
  PACKAGES.$(LOCAL_PACKAGE_NAME).EXTERNAL_KEY := 1
endif

# If this is not an absolute certificate, assign it to a generic one.
ifeq ($(dir $(strip $(LOCAL_CERTIFICATE))),./)
    LOCAL_CERTIFICATE := $(dir $(DEFAULT_SYSTEM_DEV_CERTIFICATE))$(LOCAL_CERTIFICATE)
endif
private_key := $(LOCAL_CERTIFICATE).pk8
certificate := $(LOCAL_CERTIFICATE).x509.pem

$(LOCAL_BUILT_MODULE): $(private_key) $(certificate) $(SIGNAPK_JAR)
$(LOCAL_BUILT_MODULE): PRIVATE_PRIVATE_KEY := $(private_key)
$(LOCAL_BUILT_MODULE): PRIVATE_CERTIFICATE := $(certificate)

PACKAGES.$(LOCAL_PACKAGE_NAME).PRIVATE_KEY := $(private_key)
PACKAGES.$(LOCAL_PACKAGE_NAME).CERTIFICATE := $(certificate)

$(LOCAL_BUILT_MODULE): PRIVATE_ADDITIONAL_CERTIFICATES := $(foreach c,\
    $(LOCAL_ADDITIONAL_CERTIFICATES), $(c).x509.pem $(c).pk8)

从中我们可以看到签名文件的位置取决于DEFAULT_SYSTEM_DEV_CERTIFICATE变量的值,这个值的默认的定义是在build/core/config.mk中,在查看这个值之前,我们看下这段代码,发现最终的签名文件是存放在PRIVATE_ADDITIONAL_CERTIFICATES变量中的:

$(LOCAL_BUILT_MODULE): PRIVATE_ADDITIONAL_CERTIFICATES := $(foreach c,\
    $(LOCAL_ADDITIONAL_CERTIFICATES), $(c).x509.pem $(c).pk8)

这点,我们在追寻具体的签名过程的时候会用到。好了,继续回到build/core/config.mk中,看下DEFAULT_SYSTEM_DEV_CERTIFICATE的值:

# The default key if not set as LOCAL_CERTIFICATE
ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
  DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
else
  DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/testkey
endif

他又取决于PRODUCT_DEFAULT_DEV_CERTIFICATE变量的值,如果这个变量的值没有定义的话,DEFAULT_SYSTEM_DEV_CERTIFICATE 就是build/target/product/security/testkey了。因此我们要使用自己的签名文件的话,就需要重新定义PRODUCT_DEFAULT_DEV_CERTIFICATE变量的值,这个值从名字就可以看出来它是与具体产品相关的,很过产品会在device/xxx/xxx下的device.mk中配置该值。
比如,假设我们有这样的一个device.mk文件,我们可以这样配置:

ifdef PRODUCT_RELEASEKEY_PATH
    PRODUCT_DEFAULT_DEV_CERTIFICATE := $(PRODUCT_RELEASEKEY_PATH)
endif

然后把PRODUCT_RELEASEKEY_PATH值的配置写道一个函数中:

function use_release_key()
{
    echo "use relase key!!"
    if [ ! "$TARGET_PRODUCT" ] ;then
        echo Please do \"source env.sh\" and \"lunch\" first!
        return 1
    else
        # find android root path
        local T=$(gettop)
        if [ ! "$T" ]; then
            echo "Couldn't locate the top of the tree.  Try setting TOP."
            return 1
        fi

        #local device_name=`echo $TARGET_PRODUCT | sed -e "s/full_//"`
        export PRODUCT_RELEASEKEY_PATH=$T/device/xxx/xxx/security/releasekey
        echo -e "release key path:\n \e[31m${PRODUCT_RELEASEKEY_PATH}\e[0m"
        echo " using product release key ${PRODUCT_RELEASEKEY_PATH}"
    fi
}

注意,函数中的xxx要改成对应的值哦。
把这个函数放到build/envsetup.sh 文件中,这样,当我们source build/envsetup.sh文件以后,这个函数就可以使用了,然后我们执行use_release_key,这样我们就把系统默认的签名文件改为使用我们自己的签名文件了,然后执行make或者执行mm编译的结束后,对应的apk就会使用我们提供的签名文件签名了。

那么具体Android编译系统中是怎么签名的呢?

在之前我们说签名文件的位置最终是存放在了PRIVATE_ADDITIONAL_CERTIFICATES变量中,我们搜索这个变量发现签名的逻辑是在

# Sign a package using the specified key/cert.
#
define sign-package
$(hide) mv $@ $@.unsigned
$(hide) java -jar $(SIGNAPK_JAR) \
    $(PRIVATE_CERTIFICATE) $(PRIVATE_PRIVATE_KEY) \
    $(PRIVATE_ADDITIONAL_CERTIFICATES) $@.unsigned $@.signed
$(hide) mv $@.signed $@
endef

这断代码告诉了我们系统是怎么签名的,比如我们有一个hello.apk文件,我们要把它签名成hellosign.apk,把这些变量展开就是:
java -jar signapk.jar platform.x509.pem platform.pk8 hello.apk hellosign.apk

那么到底在什么地方使用这段代码来给apk签名呢?通过搜索我们发现,位置就在package_internal.mk文件中:

$(LOCAL_BUILT_MODULE): $(all_res_assets) $(jni_shared_libraries) $(full_android_manifest)
    @echo "target Package: $(PRIVATE_MODULE) ($@)"
ifdef LOCAL_JACK_ENABLED
    $(create-empty-package)
else
    $(if $(PRIVATE_SOURCE_ARCHIVE),\
      $(call initialize-package-file,$(PRIVATE_SOURCE_ARCHIVE),$@),\
      $(create-empty-package))
endif
    $(add-assets-to-package)
ifneq ($(jni_shared_libraries),)
    $(add-jni-shared-libs-to-package)
endif
ifeq ($(full_classes_jar),)
# We don't build jar, need to add the Java resources here.
    $(if $(PRIVATE_EXTRA_JAR_ARGS),$(call add-java-resources-to,$@))
else
    $(add-dex-to-package)
endif
ifdef LOCAL_JACK_ENABLED
    $(add-carried-jack-resources)
endif
ifdef LOCAL_DEX_PREOPT
ifneq (nostripping,$(LOCAL_DEX_PREOPT))
    $(call dexpreopt-remove-classes.dex,$@)
endif
endif
    $(sign-package)
    @# Alignment must happen after all other zip operations.
    $(align-package)

生成完一个apk后就会给他签名。
我们所困惑的zipalign这个时候也出现了,我们看下它的是怎么做的:

define align-package
$(hide) mv $@ $@.unaligned
$(hide) $(ZIPALIGN) \
    -f \
    $(ZIPALIGN_PAGE_ALIGN_FLAGS) \
    4 \
    $@.unaligned $@.aligned
$(hide) mv $@.aligned $@
endef

这里使用了zipalign工具。这个工具的作用我不太清楚,百度一下发现它的作用如下:
在Android SDK中包含了一个工具名为Zipalign,它可以优化你的APK程序包,我们都知道APK的MIME其实就是一个Zip压缩文件,通过Zipalign可以让你的应用程序运行更快,Android123猜测从原理上来讲应该是优化Zip文件的解压速度,毕竟这个工具的文件名为zip对齐。

在Android平台中,数据文件存储在apk文件中,可以多进程的访问,如果你开发过Win32可能知道程序的粒度对齐问题,不错虽然不是PE格式的文件,在Zip中一样,资源的访问可以通过更好的对其优化,而zipalign使用了4字节的边界对齐方式来影射内存,通过空间换时间的方式提高执行效率。
这样我们就知道这三个apk:package.apk,package.apk.unaligned,package.apk.unsigned他们分别生成的过程和时机了。

阳光玻璃杯
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用zipalign工具报Unable to open 'xxx.apk' as zip archive 问题
qq_35196068的博客
10-21 5445
昨天遇到了一个坑,今天记录一下,也跟大家分享一下。因为工作原因,需要使用到zipalign优化工具对APK文件进行优化一下,百度了一下,发现简单的一行命令zipalign -f -v 4 -source.apk -destination.apk就可以了。结果一运行就报Unable to open 'xxx.apk' as zip archive问题,再百度一下,发现网上出这种问题的同行还是挺少
Android aapt 生成R.java和package.apk原理解析
潇洒一刀的博客
08-04 7063
本文基于AOSP-7.1.1-R9源码分析,源码可以参见frameworks/base/+/android-7.1.1_r9。 Android Apk 编译原理解析的分析过程中,可以看到,为了生成最终的apk,在资源文件的编译生成过程中,会两次使用到aapt命令。 生成R.java,编译系统通过acp命令将这个文件复制一份变成R.stamp。 生成中间文件package.apk编译系统为了生成Split.apk
Android apk编译签名工具
05-07
系统安装jdk,apk可以反编译、重新构建、指定的可以签名。 环境变量中新增HOME_JAVA指定jdk路径。
安装APP损坏,出现[INSTALL_FAILED_DEXOPT]的解决办法
11-10 1548
android4.0源码里面编译出来apk后,用adb install (或adb install -r 重装)安装时,报错[INSTALL_FAILED_DEXOPT]。 xu@xu-PC:~$ adb install workspace/out/target/product/generic/system/app/xxx.apk 2820 KB/s (225970 bytes in 0
Android 5.1 内置应用失败
ansondroider的博客
06-01 2293
平台 RK3288 + Android 5.1 问题 内置应用失败, 编译LOG如下: PRODUCT_COPY_FILES vendor/rockchip/common/nand/modules/arm/rk30xxnand_ko.ko.3.10.0:root/rk30xxnand_ko.ko.3.10.0 ignored. target Prebuilt: PrebuildApk (out...
Android实现静默安装与卸载
11-05 1万+
一般情况下,Android系统安装apk会出现一个安装界面,用户可以点击确定或者取消来进行apk的安装。 但在实际的项目需求中,有一种需求,就是希望apk在后台安装(不出现安装界面的提示),这种安装方式称为静默安装。 Android实现静默安装的方式有很多,这里只介绍一种比较简单易理解的方法,就是调用Android未公开的API(installPackage)来实现。 下面通过一种简单的De
Android APK签名
我的博客
09-22 4496
apk是安卓应用软件包,apk签名是软件包在安装的时候进行的安全性验证机制。 这种签名机制目的是为了确保Apk来源的真实性,以及Apk没有被第三方篡改。开发者通过对Apk进行签名:在Apk中写入一个“指纹”。指纹写入以后,Apk中有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。 apk签名相当于程序的身份识别代码。 是Android application package英文缩写。 它是为了确保消息来源的真实性,同时确保消息不会被第三方篡改
Android源码mm模块编译 & mm编译apk
点滴积累成就技术梦想
06-03 1万+
1.  修改内核以后,不用每次都去make编译,只需mm对模块进行编译就可以。 在Android目录下运行 $ . build/envsetup.sh 或者 $ source build/envsetup.sh ,然后就会多出几个可用的命令: - croot: Changes directory to the top of the tree. - m: Makes from the to
android编译系统分析.pdf
09-29
"Android编译系统分析" Android编译系统分析Android系统中一个非常重要的...了解Android编译系统的工作原理和组件可以帮助开发者更好地理解Android应用程序的编译和构建过程,并提高编译速度和生成的APK文件大小。
android 安全测试 APK逆向分析工具 集合 3inOne
03-09
最后,onekey-decompile-apk-1.0.1是一款一键式APK编译工具,它简化了对APK源代码的获取过程。只需简单几步,用户就能将APK转换为可读的Java源代码,便于进行代码审查和修改。这个工具通常用于快速了解应用的工作...
Android应用程序(APK)的编译打包过程
08-31
Android应用程序的编译打包过程是将源代码、资源文件、依赖库等转化为可以在Android设备上运行的APK文件的关键步骤。整个过程涉及多个工具的协同工作,包括aapt、aidl、javac、dx、apkbuilder、jarsigner以及...
Android Apk命令行编译签名打包大全
03-19
R.java文件是Android编译系统自动生成的,它包含了应用程序资源的ID。使用aapt工具可以生成R.java: ``` aapt.exe package -f --m -J GC\gen -S GC\res -I ANDROID_SDK\android.jar -M GC\AndroidManifest.xml `...
Android学习笔记之编译系统(五)apk编译流程
hailushijie的专栏
03-09 8169
apk项目是如何编译的? 总结: 我们可以通过mm  showcommands命令查看编译过程。今天下载了小米的Notes,便签,没有Android.mk文件,自己加上了Androd.mk,将这个项目放在自己的电脑工程下编译。总结了一下编译过程,不当之处请指正。参考柯元旦android内核剖析。 接下来我们就按顺序看看apk编译过程中的流程。 1、首先编译项目下的资源文件,生成R.java
网上收集的Android 题目一
thinkinwm的专栏
03-05 972
1、Activity生命周期说下,出现异常主要在那个阶段处理? 2、数据存储有哪几种方式?说过你用过哪些,做了哪些相关的项目?Sqlite用过说下? 3、Adapter原理说下。适配器具体用来干什么的?复写的getView方法返回的类型是什么?继承之后重载的构造器里面的参数有哪些? 4、通讯录里面的联系人是怎么拿出来的?又是怎么管理的?短信又是怎么管理的? 5、如果让你做一个通讯录的话,怎
历尽折腾,终于把Unity3D 的demo发布安卓啦(问题)
weixin_33810302的博客
07-30 230
只要碰到两个比较蛋疼的问题: 1. Error generating final archive: Debug certificate expired on ****   从字面了解,是由于Debug证书过期所致。   Android的应用程序必须经过开发者自己的自签名证书进行数字签名之后,才能安装到Android系统上。在开发调试阶段,默认情况下,ADT辅助工具帮我们对apk文件进行...
Unity3D发布安卓时遇到的问题解决办法
ylxy
08-04 2万+
在用Unity3D发布安卓时遇到了两个问题,在此记录xia
unity4.x从入门到精通、Unity 5.x游戏开发指南读书摘要(2015-4-21 12:10、2015-12-28 22:12)
u010401391的专栏
10-10 6405
 20160330添加: Unity3d开发VR第一讲---概述 http://www.docin.com/p-1444636517.html Unity对某些虚拟现实设备提供了内置支持。 Unity从5.3版本开始专注于虚拟现实Oculus家族设备,特别是Oculus Rift Development Kit 2(DK2)和消费版Gear VR。 Unity5.3版本不再支持n
android编译系统分析一:source build/envsetup.sh与lunch
热门推荐
阳光玻璃杯
08-01 3万+
虽然已经有很多人分析android编译系统的代码了,我也看过他们的博客,也学到了不少知识,但单纯的看别人分析,终究还是理解的不深入,所以,我还是要自己再认真的分析一遍。 1. source build/envsetup.sh 这个文件虽然很大,但暂且不需要统统看一遍。它里面定义了很多函数,这些函数在使用的时候再具体详细学习,现在主要看看这个脚本做的事情。即便如此,打开这个脚本后第一个函数还
android studio apk系统签名
最新发布
08-30
在使用Android Studio编译APK后,生成的APK文件并不具备系统签名,无法直接安装到手机上。因此,我们需要对APK进行系统签名。有两种常用的签名方法: 方法一是使用编译的signapk.jar进行签名,这个工具可以在编译的目录中找到,具体路径是out/host/linux-x86/framework/signapk.jar。你需要将APK文件、签名工具signapk.jar、以及对应的签名文件platform.pk8和platform.x509.pem放置在同一个目录下。然后,在终端或命令行中,进入该目录,并执行以下命令进行重新签名: ``` java -jar signapk.jar platform.x509.pem platform.pk8 old.apk new.apk ``` 这样,就会生成一个新的APK文件new.apk,它已经使用了platform签名文件进行了系统签名。 方法二是使用自己的Android签名工具对APK进行签名。你可以在系统源码的build/target/product/security/目录下找到Android签名文件。同样,你需要将APK文件、签名工具和对应的签名文件放置在同一个目录下。然后,打开终端或命令行,并进入该目录,执行你自己的签名工具对APK进行签名。具体的签名方法可能因为不同的签名工具而有所不同,你可以参考网上的资料来进行操作。 总结来说,对于在Android Studio编译APK进行系统签名,你可以选择使用编译的signapk.jar工具进行签名,或者使用自己的Android签名工具。在执行签名操作之前,确保将APK文件、签名工具和对应的签名文件放置在同一个目录下,并按照相应的方法进行操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [android studio开发系统应用签名处理](https://download.csdn.net/download/weixin_38741759/14017935)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Android studio打包APK流程及给APK系统签名步骤](https://blog.csdn.net/IT_xiao_bai0516/article/details/120789218)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值