android 签名验证防止重打包

最新推荐文章于 2022-05-26 15:38:01 发布
最新推荐文章于 2022-05-26 15:38:01 发布
阅读量165 收藏 1
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/lesliefang/p/5152358.html
版权

网上资料很多,这里只做一个笔记
反编译 dex 修改重新打包签名后 apk 的签名信息肯定会改变,所以可以在代码中判断签名信息是否
被改变过,如果签名不一致就退出程序,以防止 apk 被重新打包。

1 java 代码中验证签名

用 PackageManager 获取签名信息
 public static int getSignature(Context context) {
    PackageManager pm = context.getPackageManager();
    PackageInfo pi;
    StringBuilder sb = new StringBuilder();
    
    try {
        pi = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);
        Signature[] signatures = pi.signatures;
        for (Signature signature : signatures) {
            sb.append(signature.toCharsString());
        }
    } catch (PackageManager.NameNotFoundException e) {
        e.printStackTrace();
    }

    return sb.toString().hashCode();
}

这种纯粹的字符比较都很容易破解掉,直接在 smali 中全局搜索干掉或修改你的签名验证逻辑就行了,实际上用处不大。

2 签名验证放到 native 层用 NDK 开发
这种验证稍微安全了一点,毕竟能逆向 C 和 C++ 的人要少一些。像我这种现在还不能逆向C的就无能为力了。
但对于能逆向C的同学来说,也是很轻易的就改掉你的验证逻辑,可以考虑加上,毕竟还是有点用的。
3 验证放到服务端
感觉没什么鸟用,直接干掉或修改你接口的判断逻辑的就行了。

还有很多高级方法可以直接绕过签名验证,还待研究。

 

转载于:https://www.cnblogs.com/lesliefang/p/5152358.html

weixin_30810239
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android中的apk通过签名校验防止反编译打包
时代新人的博客
08-31 1889
Android开发完打包好的apk如果被别人盗取可能会存在被反编译打包的风险,那么我们如何来保护我们辛苦开发出来的程序不被别人盗取打包呢,这里我们通过签名文件入手,因为打包时候是需要签名的,别人盗取后如果打包也是需要签名的,那么如果打包签名跟我们原本打包签名不一样,就可以阻止他使用该apk。 我们要在首页MainActivity里来判断打包签名文件是否与原签名文件一致: /** * 获取签名文件的第一个签名值 * @param packageName 应用包名
Apk打包、安装、签名
DarkfallYou的博客
12-02 1072
1.aapt工具会在我们编码时打包res资源文件,生成R.java、resources.arsc和res文件。 2.aidl工具解析接口定义文件然后生成相应的Java代码接口供程序使用。如果项目没有用到aidl则不会执行这一步。 3.Java Compiler阶段,将R.java,aidl生成的java文件,以及我们程序的java代码,通过Java编译器(javac)编译成.class文件。 4.通过dx工具,将所有.class文件处理成.dex文件。 5.通过apkbuilder工具将resour
APK反编译和打包(整理)
lianlang的专栏
12-06 1455
在刚开始安卓逆向时遇到了一个很坑爹的问题,就是对apk进行反编译后不能打包, 查了一些资料,这里就简单说一下用apktool进行解包和打包的整个过程。 apktool:Apktool - A tool for reverse engineering 3rd party, closed, binary Android apps. 首先把一个apk和apktool放到同一目录下,打开shell(我这里是power shell,用平常的shell也一样),输入 java -jar .\apkt...
Android逆向【4】:暴力破解APK签名校验,愉快的打包微信支付宝APK
软件架构农
12-28 9568
回顾 《Android逆向小技巧③:批量注入日志,打印目标程序执行流程》 在上一篇2019年的文章中,我们使用python写了一个简单的文本处理工具: https://github.com/encoderlee/android_tools 在使用apktool对目标应用的apk解包以后,用这个python写的小工具,分析反编译出来的smali代码,并在每个方法中注入日志,然后对apk打包,这样,但APP运行的时候,我们每做一个操作,都可以从日志中看出目标代码的执行流程。 不过这种方式有一个很大的缺点,就
Android通过签名验证防止二次打包
zhangqidahaoren的专栏
07-03 3630
最近android版的游戏要上线,想到打包党轻松将自己的产品破解,然后二次打包就恼火,所以就研究了下怎么防止打包党从中得益的方法。Android的app必须要有签名才能安装到用户的手机上,开发者在开发期间调试,eclipse会自动为程序创建一个debug.keystore的证书文件,这样就能正常的安装调试。可是在正式版的时候,我们一定要申请自己的证书文件,这样在导出apk包得时候会通过这个文件进行签
实战android打包签名
08-28
Android 打包签名详解 Android 打包签名Android 应用程序开发中不可或缺的一步。为了让开发者更好地理解 Android 打包签名的过程,本篇文章将通过实例讲解如何对 Android 项目打包签名,并详细解释每...
Android 配置打包签名信息的两种方法
08-27
Android 配置打包签名信息是 Android 应用程序中非常要的一步骤,它主要是为了确保应用程序的安全性和身份验证。本文将为大家介绍 Android 配置打包签名信息的两种方法,这两种方法都是通过配置 build.gradle 文件...
Android签名验证代码
04-17
下面将详细阐述Android签名验证的流程和相关代码实现。 首先,我们需要理解签名的原理。Android使用Java的JAR签名机制,这基于公钥加密体系。开发者使用私钥对APK进行签名,系统则使用对应的公钥来验证签名。这样...
Android和iOS包批量签名
08-27
Android应用的签名是一个关键的安全机制,用于验证应用的来源和完整性。批量签名主要是为了在不改变应用核心功能的情况下,针对不同的分发渠道进行个性化定制,例如修改渠道号以追踪安装来源。以下是Android包批量...
Android 项目正式签名打包教程分享
01-03
大家在开发安卓应用的时候,在调试阶段通常都是通过 run 的方式发布到模拟器或者真机上,我们知道 android 应用打包后的后缀名是 .apk 文件。.apk 文件是一种压缩包,类似 .zip 文件,我们可以通过强制更改它的后缀...
android 安卓应用 防二次打包签名 防篡改 安全加固
07-22
目前移动领域出现了相当部分的安全问题,新的恶意软件层出不穷,同时,企业对敏感数据保密性意识日益提高,作为移动开发者,有责任对最终用户的隐私和安全承担更多责任。另一方面,APP被篡改、盗用,直接伤害了开发者的知识和劳动权益,移动开发者有必要保护自己的利益不受损失。 这里实现了安卓移动APP防二次打包、防签名、防篡改的自动化一键式加固工具。成熟的安全加固方案,均已实现和投入使用,解决了企业和个人的安全问题。针对开发者指定的移动应用(apk),以本地工具的方式,自动完成加固。技术实现上,类似360加固宝、梆梆加固、爱加密、阿里聚安全类似。实现了: - 签名运行时校验 - 资源文件运行时校验 - dex资源运行时校验 - 其他资源运行时校验 保护个人移动应用或企业数据的安全性。如有源码需要,请联系作者本人。QQ:164836265
Android获取apk签名指纹的md5值(防止新被打包)的实现方法
09-02
主要介绍了Android获取apk签名指纹的md5值以防止新被打包的实现方法,结合实例形式详细分析了Android获取apk md5值的常用技巧,需要的朋友可以参考下
Android静态安全检测 -> 打包防护检测
4lwin博客
12-08 2806
打包防护检测 一、API 【1】APK签名校验:PackageManager.getPackageInfo( ) 【2】dex文件校验:对比classes.dex文件的哈希值 【3】参考链接 http://www.droidsec.cn/android应用安全开发之源码安全/ 二、触发条件
Android-APK防止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验
m0_64603929的博客
12-16 6125
private void hook(Context context) { try { DataInputStream dataInputStream = new DataInputStream(new ByteArrayInputStream(Base64.decode(“省略很长的签名 base64”, 0))); byte[][] bArr = new&n
APP安全(一)-防二次打包(C、C++签名校验)
mrRuby的博客
01-20 1777
前言 由于Android系统的开放性,开发出来的APP很容易被逆向,修改代码逻、加入广告、病毒等二次打包后发布,对开发者和用户造成一定的损失。因此我们的APP运行过程中需要进行签名校验,以及使用加解密算法对数据进行处理,从而保证访问服务端的请求是我们信任的APK。签名校验如果放在Java语言层面,很容易被逆向,因此需要在C/C++层进行校验,从而增加破解的难度。 校验逻辑 APP启动时候初始化我...
[车联网安全自学篇] Android安全之绕过APK打包签名校验「防篡改校验」
橙留香Park的博客
05-26 2299
近年来,移动设备(例如智能手机和平板电脑)的发展十分迅速,Android平台占据了智能移动市场的主要份额,随着移动设备的流行和普及。涌现出大量的移动应用,这些移动应用不仅增强了移动设备的功能,还大大丰富了用户体验,用户逐渐习惯于使用多样的应用来娱乐和办公,智能移动设备和移动应用已经成为人们生活中不可或缺的一部分。
Android 应用防止被二次打包指南
网易数帆社区博客
08-30 1563
二次打包问题只是Android应用安全风险中的一部分, 一般是通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。对于打包党对于移动App带来的危害有以下几种:1. 插入自己广告或者删除原来广告;2. 恶意代码, 恶意扣费、木马等;3. 修改原来支付逻辑。上述恶意行为严危害移动产品和用户利益,同时也影响企业口碑。关于移动App破解、数据泄露风险问题,以金融行业为例:众所周...
(爱加密系列教程八)Android APP如何防止二次打包
weixin_30832143的博客
10-08 451
AndroidAPP如何防止二次打包 Android系统的开放性和免费性等特征让开发者和用户趋之若鹜,用户也渐渐习惯了Android应用的这种免费午餐,但在免费的背后却有着巨大的安全阴影。 “AndroidAPP二次打包”则是盗版正规AndroidAPP,破解...
android 防止反编译签名,C实现代码
u010439541的专栏
04-25 836
#include #include #include #include #include "com_example_myapp_JniTest.h" #define LOGI(...) __android_log_print(ANDROID_LOG_INFO,"com.example.myapp", __VA_ARGS__) const jint apksign = -3444382
Android 签名验证
最新发布
06-12
Android签名验证Android应用程序安全机制的一部分,它确保只有经过正确签名的应用才能在设备上运行和安装。这个过程涉及以下几个关键概念: 1. 签名密钥(Signing Key):开发者使用公钥对应用程序的代码进行加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值