android_apk安全之完整性校验

最新推荐文章于 2021-05-27 08:09:13 发布
最新推荐文章于 2021-05-27 08:09:13 发布
阅读量9k 收藏 4
点赞数 1
分类专栏: mac终端命令 文章标签: 安全 android 反编译

android apk安全之完整性校验

最近项目中在做安全监测,介于这个原因调查了一些第三方的加固防编译平台和自己使用中的心得,总结了apk安全的完整性校验的监测.

完整性校验原理

完整性校验就是我们用各种算法来计算一个文件的完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的classes.dex主要由Java文件生成的,它是整个apk的逻辑实现。所以我们可以对classes.dex文件进行完整性校验,来保证整个程序的逻辑不被修改。如果我们想要保证整个apk文件的完整性,也可以对整个apk文件进行完整性校验。下面我们分别来实现对classes.dex文件和apk文件的完整性校验。

1.用crc32对classes.dex文件的完整性进行校验
代码如下:
 //验证apk中classes.dex文件的crc32的值,即对dex文件进行完整性校验
    public static boolean checkDexCrcValue() {
        String apkPath = BaseApplication.getInstance().getPackageCodePath();
        Long dexCrc = Long.parseLong(QianJinSuoApplication.getInstance().getString(R.string.classesdex_crc));
        try {
            ZipFile zipfile = new ZipFile(apkPath);
            ZipEntry dexentry = zipfile.getEntry("classes.dex");
            Log.i("checkDexCrcValue", "classes.dexcrc=" + dexentry.getCrc());
            if (dexentry.getCrc() == dexCrc) {
                return true;
            }

        } catch (IOException e) {
            e.printStackTrace();
        }

        return false;
    }
tips:一旦确定了classesdex_crc,代码逻辑不可以再进行修改了。否则需要改相应的classesdex_crc.

用哈希值对整个apk完整性进行校验

由于我们要对整个apk的完整性进行校验,所以我们的算出哈希值就不能存在资源文件中了因为apk中任何的改动都会引起最终apk生成的哈希值的不同。

(1)首先实现apk中计算自身哈希值的代码,如下:

    public static boolean checkApkSha(){

        String apkPath = QianJinSuoApplication.getInstance().getPackageCodePath();

        MessageDigest msgDigest = null;

        try {

            msgDigest = MessageDigest.getInstance("SHA-1");

            byte[] bytes = new byte[1024];

            int byteCount;

            FileInputStream fis = new FileInputStream(new File(apkPath));

            while ((byteCount = fis.read(bytes)) > 0)

            {

                msgDigest.update(bytes, 0, byteCount);

            }

            BigInteger bi = new BigInteger(1, msgDigest.digest());

            String sha = bi.toString(16);
            Log.i("checkApkSha", "apk sha=" + sha);

            fis.close();

            if(BaseApplication.getInstance().getString(R.string.apk_sha).equals(sha)){
                return true;
            }

            //这里添加从服务器中获取哈希值然后进行对比校验

        } catch (Exception e) {

            e.printStackTrace();
        }
        return false;
    }
(2) 用Linux下的sha1sum命令计算我们的apk的哈希值,命令如下:

shasum verification.apk

将(2)中生成的哈希值存到服务器上,然后在我们的代码中从服务器获取进行完整性比较。
上面我们用计算crc32和哈希值的方法分别对classes.dex文件和整个apk完整性进行了校验,当然两个校验方法也可以互换使用。
stormCoderStorm
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
APP安全APK完整性校验
fuchenxuan blog
05-22 1万+
APP安全APK完整性校验前言 APK 完整性校验,虽然很难做到绝对的安全,但能提高应用安全性和破解难度。 一、认识APK安全性危害可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息二、完整性校验原理完整性校验的几种方式 CRC校验 MD5值校验 SHA1值校验 常见android完整性检测 检测签名 校验classes.dex 校验整个apk 检测
Android APK文件完整性验证
最新发布
q1165328963的博客
09-01 1204
APK完整性校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 3805
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,防止被重签名和二次打包(采用混淆、验证签名、服务器端验证等技术防范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名。
Android安全测试(三)应用完整性检验检测
weixin_30512043的博客
08-14 482
二、app应用完整性1.测试环境 SDK: Java JDK, Android SDK。 工具: 7zip,apktool.jar,signapk.jar 2.操作步骤 第一步:把需要检测apk放置到apktool.jar的目录里 第二步:cmd命令行模式进入到apktool.jar的路径下,输入: java -jar apktool.jar d apk文件名...
apk安全校验
02-07
获取签名证书keystore的SHA1值和完整性校验获取的classes.dex的SHA-1哈希值字符串,防止二次签名和篡改
Android_WebView安全攻防指南2020.pdf
08-11
以下是一份详细的Android WebView安全攻防指南,涵盖了WebView的攻击面、配置与使用、URL校验以及安全防御措施。 1. **WebView攻击面** - **JavaScriptInterface接口**:在Android 4.4之前,系统中的...
APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序(APK)签名完整性安全性的软件工具。在Android系统中,每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程,确保开发者身份的可追溯性,同时...
android apk sha256哈希值签名验证示例
08-14
通过以上步骤,我们可以有效地确保APK完整性和来源的可信性,从而提高应用安全性。在实际开发过程中,这些操作通常是自动化集成到构建流程中的,以确保每次发布的APK都经过了正确的签名和验证。
Gen_Signature_Android.zip
03-17
Android开发中,APK签名是一个至关重要的环节,它确保了应用安全性和完整性。当我们谈论“获取apk签名MD5”时,我们实际上是指计算APK文件的数字签名的MD5哈希值,这个值用于验证应用程序的身份和防止篡改。在本...
Android 安装APK完整性校验(V1签名)
Cailand的专栏
01-07 5833
app在安装是会采集签名信息来验证apk的完成性 apk经过v1签名,解压后会得到META-INF文件夹,里面主要有三个文件CERT.RSA CERT.SF MANIFEST.MF,三者的介绍参考https://www.iteye.com/blog/myeyeofjava-2125348 http://www.blogjava.net/zh-weir/archive/2011/07/19/35...
Android 校验apk文件渠道号、包名、版本号
11-06
功能:可查看单个或目录下所有apk文件的渠道号、包名、版本号 使用:以查看包名、版本号为例 1、copy文件version.sh到apk文件所在目录 2、查看所有apk包名、版本号 执行命令./version.sh查看所有apk文件版本号及versionCode 3、查看单个apk文件apk包名、版本号 执行命令./version.sh apk_a01.apk查看所有apk apk_a01版本号及versionCode NOTE: 如提示找不到aapt,请把aapt添加到环境变量中,aapt目录android-sdk-linux/build-tools下 或修改脚本如下红色字体为电脑aapt路径 #echo package and versionName echo `aapt d xmltree "$f" AndroidManifest.xml |grep -E -n -i "android:value" ` done 修改后为: #echo package and versionName echo `/android-sdk-linux/build-tools/23.0.1/aapt d xmltree "$f" AndroidManifest.xml |grep -E -n -i "android:value" ` done
MD5校验码验证文件的完整性
04-18
从网络下载一个文件,往往在使用之前需要先验证其文件的完整有效性,这个md5生成验证码的工具,就非常实用了。一个放入服务器端的报文中,另一个在代码中使用MD5检验,两边一对比,如果生成字串一致,那么即可说明文件是完整的。
判断apk是否是完整并可以正常安装的apk包,
Nation_chen的专栏
08-05 4680
public boolean getUninatllApkInfo(Context context,String filePath) { boolean result = false; try { PackageManager pm = context.getPackageManager(); Log.e("archiveFilePath", filePath); PackageInfo
一个简单的apk完整性校验方法
number_cmd9的博客
08-07 3734
一个简单的apk完整性校验方法,客户端打包校验 思路来自我的上级老大哥,因为从网上的搜索发现,很多apk校验是需要基于服务器来提供一个SHA1的校验的,因为apk生成后这个值基本是单一的,也就是仅仅属于这个apk,那么我这里采用的方法就是利用我们打包加密时的key拿到SHA1,然后进行对这个key的SHA1的一个程序校验即可。首先你需要拿到key的SHA1 拿到key的SHA1 话不多说,上步骤; 第一步、打开Android Studio的Terminal工具(不会有人连这个在哪都不知道吧,不会吧不会吧?)
Android客户端代码保护技术-完整性校验
热门推荐
Liyunlong
09-21 1万+
由于Android系统固有的缺陷、Android应用分发渠道管理机制等问题,导致Android客户端程序很容易被反编译篡改/二次打包,经任意签名后可在各个渠道或论坛中发布,这不仅损害了开发者的知识产权,更可能威胁到用户的敏感信息及财产安全,因此客户端程序自身的安全性尤为重要,本文以客户端完整校验为主题,提供几种Android客户端完整性校验的实现思路,供广大开发者参考。思路1:对classes.d
Android图片完整性检验,Android APP应用完整性检查
weixin_36275605的博客
05-27 775
1. 前言APK应用完整性即移动客户端程序安装后,在每次启动时都会对自身文件进行完整性进行校验。防止攻击者通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。2. APK应用完整性检查1. 使用Apktools反编译APK文件进入apktool文件夹下,输入以下命令,反编译apk文件apktool d xxxxx.a...
android安装包验证,Android – 已安装的应用完整性检查
weixin_42347925的博客
05-27 835
>如果有人篡改已安装的Android应用程序(apk文件),是否在启动时完成了任何检查以确保应用程序的完整性不受损害?据我所知,在发布时没有检查,我正在尝试执行以下操作:>我正在尝试计算已安装应用程序(apk文件)的SHA-1摘要.我知道apk文件就像一个zip文件.它由其他文件组成.但是,我将其视为任何其他文件(只是一个字节流)并尝试计算所有apk文件的SHA-1摘要.这种方法有什么...
android apk 校验
LiuJP的博客
07-13 689
1,在app 刚开启时会提示:破解软件,盗版软件 2,要不就是FC:Forcing Close 强制退出 自校验: 本地校验。 联网校验。 签名经验。 dex校验。 长短检验。 签名校验用的很多; 1,有提示:先搜索提示信息; 再去signature 2,无提示: packageManager.getPackagerName 关键字:sig

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值