Android-APK:为何你的应用老是被破解,该如何有效地做签名校验

最新推荐文章于 2024-05-09 10:44:06 发布
最新推荐文章于 2024-05-09 10:44:06 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: 程序员 文章标签: 架构 移动开发 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wa2231a/article/details/122742681
版权

/**

  • 做普通的签名校验
    */
    private boolean doNormalSignCheck() {
    String trueSignMD5 = “d0add9987c7c84aeb7198c3ff26ca152”;
    String nowSignMD5 = “”;
    try {
    // 得到签名的MD5
    PackageInfo packageInfo = getPackageManager().getPackageInfo(
    getPackageName(),
    PackageManager.GET_SIGNATURES);
    Signature[] signs = packageInfo.signatures;
    String signBase64 = Base64Util.encodeToString(signs[0].toByteArray());
    nowSignMD5 = MD5Utils.MD5(signBase64);
    } catch (PackageManager.NameNotFoundException e) {
    e.printStackTrace();
    }
    return trueSignMD5.equals(nowSignMD5);
    }

系统将应用的签名信息封装在 PackageInfo 中,调用 PackageManager 的 getPackageInfo(String packageName, int flags) 即可获取指定包名的签名信息。

这个并不用我多说了,如果没听过的话,用搜索引擎找一下「Android 签名校验」,花上几分钟就明白了,很容易的。

编译出 release 包并安装,可以看见运行效果很满意。但是事实真的如此么?下面我们让他作为受害者,被一键破解。

使用工具去除先前的校验

很多人可能不知道,去除简单的签名校验连小朋友都能做到!

请看具有「安全性测试」功能的「M* 管理器」上场,一键去除我们上文准备好的受害者的签名校验:

神奇的一幕发生了,居然还是通过,也就是我们刚才的操作形同虚设,我们把被破解后的安装包传回 PC,准备下一步分析

JADX 上场

为了知道他做了什么,我们需要逆向出目前受害者的代码。这里我们使用开源项目jadx来完成。

打开 jadx 之后会直接弹出「打开」对话框,选取被破解的 apk 即可:

最低0.47元/天 解锁文章
wa2231a
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
破解NDK层的签名校验
武天旭的博客
10-03 1841
一、破解NDK层的签名校验 NDK层签名校验破解的思路与Java层签名校验破解的思路相似: 1、通过输入“signature”关键字定位获取本Apk签名信息的函数(在下文中,我们用getApkSign来标记该函数); 2、找出调用的getApkSign函数的函数列表,然后在得到的函数列表中筛选出签名校验函数(在下文中,我们用verifyApkSign来标记该函数);
Android利用反射进行较强的签名校验
m0_47587308的博客
06-06 1259
常见签名校验 一般来说,签名校验的方式有以下几种 通过安卓提供的api,利用packagemanager获取签名数据,和已存的正确值进行对比 在native中,反射Java的api,进行对比,本质上和1相同 自己读取apk文件,解压,校验META-INF里的RSA文件 第一种和第二种,是大多数软件在用的,但是很容易被逆向者过掉,甚至有工具可以一键过掉。 第三种校验的准确性更高,缺点是效率低、易发生错误,并且v1以上的签名之后,并不生成RSA文件。那么校验文件也就不可取了。 这是常见的签名校验的示
Android-APK防止二次签名妙招:为何你的应用老是破解,该如何有效签名校验?(2)
最新发布
2401_84558467的博客
05-09 529
他继承自 Application,重写了 attachBaseContext 来调用 hook(context) ,在里面了 IPackageManager 的动态代理,实现在调用 getPackageInfo 方法的时候,修改 signatures[] 为在破解之前计算好的数值。他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。
Android反编译破解签名验证,Android证书生成,签名,验证,虽然难,但学一次就够了!...
weixin_35547906的博客
05-25 744
引言从Android演进开始,APK签名就已经成为Android的一部分,并且android要求所有Apks都必须先签名,然后才能将其安装在设备上。关于如何生成密钥以及如何签名的文章很多。一个Apk,但我们将从安全角度进行研究。在对Apk文件进行反编译或反向工程之后,应查看哪个文件,以获取有关最初对应用进行签名的开发人员的更多信息。反编译APK文件解压缩文件或使用apktool后,取决于如何对文件...
Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
AliMobileSecurity的博客
08-01 4456
本文分享签名校验分析和绕过签名校验的源码修改点。
Android逆向学习(六)绕过app签名校验,通过frida,io重定向
qq_52380836的博客
01-09 2792
这是吾爱破解正己大大教程的第五个作业,然后我的系统还是ubuntu,建议先看一下上一个博客,关于动态调试的,因为我这才发现动态调试是真的有很大用处,然后我们开始今天的教程(拖更很久了,最近真的很忙事情好多,抽空出一期博客,这一节博客问题其实挺多的,如果有不对的地方请指出,不胜感激)
python-for-android:将您的Python应用程序转换为Android APK
02-02
python-for-androidAndroid上Python应用程序的打包工具。 您可以创建自己的Python发行版(包括所需的模块和依赖项),并将其与自己的代码捆绑在APK中。 功能包括: 不同的应用程序后端,包括Kivy,PySDL2和带有...
perl-android-apk:将 Perl for Android Interpreter 嵌入到 APK
06-16
该项目的目标是帮助人们将用于 Android 解释器的自定义 Perl 与他们的 Perl 脚本一起嵌入到不需要单独下载解释器的单个 APK 中。 它是从 android-python27 项目派生出来的。 消息: 2012 年 6 月 20 日 - Perl ...
uber-apk-signer:一种cli工具,可帮助对带有调试或提供的发行证书的单个或多个Android应用程序包(APK)进行签名和压缩。 它支持v1,v2和v3 Android签名方案具有嵌入式调试密钥库,并在签名后自动验证
01-30
一种工具,可通过调试或提供的发行证书(或多个)来帮助签署, 和验证多个Android应用程序包(APK)。 它支持和。 带有嵌入式调试密钥库的便捷调试签名。 每次签名后自动验证签名和zipalign。 主要特点: zipalign...
fastlane-plugin-analyze-apk:用于分析Android APK的Fastlane插件
01-30
选项: 键描述apk_path 您要检查的APK的路径android_home Android SDK安装根目录的路径,例如〜/ tools / android-sdk-macosx build_tools_version Android构建工具版本以使用“ 23.0.2” 输出变量: 共享价值描述...
一键去除签名验证的软件.apk
08-07
一键去除签名验证的软件.apk,安卓用的
apk签名_查看签名信息_去除签名_重新签名工具三件套
08-23
robotium的自动化测试过程中,由于要求被测apk和测试apk具有相同的签名,所以需要这些工具进行重新签名
APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
android-apk:一种用于检测Android APK中恶意负载的机器学习方法
02-14
在移动设备领域,Android应用程序(APK)是广泛使用的软件包格式。然而,随着其普及,恶意软件也逐渐渗透到这个平台,对用户的安全构成威胁。"android-apk"项目是一种利用机器学习技术来检测Android APK文件中潜在...
java签名源码-ApkSignatureKiller:一键破解APK签名校验
06-05
一键破解APK签名校验 参考自,在其基础上进行了部分改进,并用纯 Java 实现。 原理 通过插入代码到 Application 入口,hook 了程序中 PackageManager 的 getPackageInfo 方法,改变了其获取到的签名信息。 处理步骤 ...
android签名验证,研究反MT管理器增强版的去除签名校验
weixin_35338620的博客
05-30 2663
publicString getApkSignatureModules(Context context, String apkPath){String sign = null;try{Class clazz = Class.forName("android.content.pm.PackageParser");Object packageParser = getParserObject(cla...
Android如何把签名校验到极致
qq_40948137的博客
04-19 5661
为何你的应用老是破解,该如何有效签名校验? 前言 上一篇发了个简单的NDK实现的签名校验,众所周知,签名校验是防止二次打包最普遍的方式。下面是常见的签名校验方法: /** * 普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152"; String nowSignMD5 = ""; try { // 得到签
Android中如何进行签名校验和完整性校验
热门推荐
Martin.Mu `s Special Column
11-27 1万+
前言 签名校验和完整性校验主要是针对于二次打包的检测防范措施,如果没有签名校验和完整性校验功能,应用可能被恶意攻击者二次打包,被盗版的风险大大增加,同时也可能进行任意代码修改。 针对上面的问题,这章我们就对我们的App进行运行时签名校验。 准备 项目代码 项目代码的主要实现类SignatureChecker,欢迎查看。 验证默认签名信息 1.获取应用APK 在编写好项目以后,我们通过点击bui...
universal-apk-builder:
08-09
universal-apk-builder是一个用于构建通用APKAndroid应用程序包)的工具。它的作用是将一个应用程序的源代码和资源文件转换成可以在不同Android设备上运行的通用APK文件。 通常在开发Android应用程序时,需要为不同的设备和系统版本适配不同的APK文件。这意味着开发人员需要为每个设备和系统版本构建多个APK文件,增加了工作量和开发难度。 universal-apk-builder解决了这个问题。它可以根据输入的源代码和资源文件,自动进行适配和优化,生成一个通用的APK文件。这个通用APK文件可以在大多数Android设备和系统版本上运行,不再需要为每个设备和系统版本构建单独的APK文件。 使用universal-apk-builder的好处是显而易见的。首先,它大大减少了开发人员的工作量和开发周期,因为只需要构建一个通用的APK文件即可。其次,通用APK文件的运行效果和性能可以得到更好的保证,因为它经过了适配和优化处理。 然而,与任何工具一样,universal-apk-builder也有一些限制。它可能无法完全适配所有的Android设备和系统版本。在某些特殊情况下,仍然需要构建特定设备和系统版本的APK文件。此外,由于通用APK文件需要兼容多种设备和系统版本,可能会对应用程序的大小和性能产生一些影响。 总体而言,universal-apk-builder是一个实用的工具,可以帮助开发人员简化APK构建过程,提高开发效率。但开发人员仍需根据具体情况和需求来选择是否使用该工具,以及是否进行特定设备和系统版本的适配。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值