Android应用安全与防范之签名校验

最新推荐文章于 2024-03-19 14:01:22 发布
最新推荐文章于 2024-03-19 14:01:22 发布
阅读量324 收藏
点赞数
文章标签: 移动开发 java python
原文链接:https://my.oschina.net/u/2971691/blog/857799
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Android黑产品里面有一个叫做二次打包,也称为重打包。通过反编译应用后,可以得到smali源码,往其中注入代码或者修改相应义务逻辑后,重新利用新的签名进行打包,并发布到市场应用去,很多人就是通过这种方式去破解一些付费应用或者往其中注入广告代码来获利。简单梳理一下打包的基本流程:

1.对应用使用apktool类逆向工具进行解包

2.在某处地方注入smali代码

3.利用IDE生成签名文件,再通过jarsigner进行签名

4.上传应用市场

为了与二次打包做对抗,可以在应用内的关键功能入口增加校验签名的检测,如果发现应用签名非正版,则强制关闭应用或者限制用户使用。加签名校验代码时,可以考虑:

1.在JNI层加校验代码,相比在Java层的代码,JNI层的逆向难度更大。

2.如果要在Java层加校验代码,不要在一个地方暴露一段长字符串,对于逆向工程师来说,这是非常明显的提示。可以考虑将字符串打散存放在各处,这样会增加破解分析的难度

当然不要认为放在JNI层就可以高枕无忧了,对于JNI层,同样可以进行代码注入,来暴力破解你签名校验的逻辑,只不过相比Java层的,JNI层所需成本更高,这样也能拦截掉一部分逆向人员的不好的想法。

转载于:https://my.oschina.net/u/2971691/blog/857799

weixin_34405557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
01-05
最近做安卓项目中使用到了百度地图的API,在申请百度地图key的时候,需要我们填入“签名的SHA1”和“客户端包名”,然后百度为我们生成一个key。...我们已经知道的是:Android对每一个Apk文件都会进行签名
android5.0-6.0禁用非签名应用安装补丁
06-05
android5.0-6.0禁用非签名应用安装补丁,根据包名里的key作为判断的key
Android 安全Android 应用 APK 加固总结 ( 加固原理 | 应用加固完整的实现方案 | 源码资源 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
04-06 7735
一、 APK 加固原理、 1、 Android 应用反编译、 2、 ProGuard 混淆、 3、 多 dex 加载原理、 4、 代理 Application 开发、 5、Java 工具开发、 6、Application 替换、
Android加固平台推荐(五星)
zxz_zxz_zxz的博客
05-31 8701
目前我使用的是360加固来用来加固,然后加固完成,使用的是爱加密来加密。这样的组合还不错。现在的360加固的加密要收费,之前是免费的加固与加密一起,现在要开vip才可加密,但是加固还是老样子免费。喜欢就喜欢吧,喜欢没有理由。
使用360进行apk加固并进行2次签名整体流程
最新发布
dzqxwzoe的博客
03-19 1002
因新版360加固助手需要付费才能进行自动签名,故只能自己手动来签名了~
安卓逆向笔记--apk加固
qq_43593334的博客
04-06 1867
安卓逆向笔记–apk加固 资料来源: 浅谈安卓apk加固原理和实现 Android中的Apk的加固(加壳)原理解析和实现 一、apk常见加固方法 (1)代码层级加密–代码混淆         代码混淆是一种常见的加密方式。本质是把工程中原来具有含义的类名、变量名、方法名,修改成让人看不懂的名字。常见的代码混淆工具pro...
(原创)Android apk应用加固、字节对齐、二次签名全流程
Android_xiong_st的博客
06-01 3117
这篇博客主要是讲如何对apk应用进行加固、对齐和签名的,会有详细的步骤逐一介绍
Android Apk加固原理解析
故不积跬步无以至千里
04-20 1804
对APP进行加固,可以有效防止移动应用被破解、盗版、二次打包、注入、反编译等,保障程序的安全性、稳定性。常见的加固方案有很多,本文主要介绍如果通过对dex文件进行加密来达到apk加固的目的;ღ( ´・ᴗ・` )
rzyfileuploadclient_HASH签名安全校验_
10-02
通用HASH签名实现HTTP请求安全通信机制
安全测试之避开客户端校验
03-23
大部分的web应用程序会依靠客户端执行各种措施来控制它提交给服务器的数据,以提高程序的可用性,避免客户端与服务器来回通信。比如使用javascript来校验长度是否超长,格式是否正确,使用隐藏html表单字段进行数据...
Android APK的加固方法
zhangge3663的博客
09-06 5883
有人的地方就有竞争,在Android的发展过程中就伴随着逆向和安固加固的发展。逆向工作者可以通过一些非常好用的软件,如IDA、JEB等,来加快逆向的速度;应用开发工作者也会通过各种手段来阻止逆向工作者对自己的应用进行逆向。 但是往往情况下逆向是不可能做到百分百阻止的,所有只能通过其他的手段来提高自己应用被逆向时的难度,让逆向工作者需要(可不绕过)花费足够多的时间才能把应用逆向成功。在实际情况下,只要不明显影响应用运行速度,我们都可以采用这种思想来进行保护。 在这种背景下,膨胀与混淆就应运而生了,这就
Android APK加固原理
kingwjh的专栏
03-22 2030
Android作为开源框架,开放之余,所要面临的就是安全问题,世间之事,有正就有邪,有攻就有守,作为开发者虽然不需要进入专业安全领域,但还是需要掌握基本的安全常识和原理。
apk加固 4个加固平台||整合||对App加固可以有效防止移动应用被破解、二次打包等
php菜鸟技术天地
06-17 9954
正文:分享4个加固品台 这边开始我的分享:腾讯乐固平台官网:http://console.cloud.tencent.com/legu/myapplication/index360加固平台官网:http://jiagu.360.cn/#/global/index网易 易盾平台官网:http://dun.163.com/百度加固:http://app.baidu.com/user/reg...
Android APK 加固技术探究(二)
android_hdh的博客
11-01 2296
Android APK 加固技术探究(一) Android APK 加固技术探究(二) Android APK 加固技术探究(三) 为了保证 Android 应用的源码安全性,我们一般会对上线的应用进行代码混淆,然而仅仅做代码混淆还不够,我们还要对我们的应用加固,防止别人通过反编译获取到我们的源码。目前 apk 加固技术比较成熟完善,市面上比较流行的有“360加固”。本文就 apk 加固技术做一个技术探究,希望读者看过后能明白加固的其中原理,并也能自己实现加固方案。 在 Android apk 加固技术
聊聊Android签名检测7种核心检测方案详解
wei_java144的博客
10-11 1237
这篇文章只讲Android签名检测,安卓发展到现在,因为国内环境没有谷歌市场,所以很多官方推荐的Api没法使用 ,所以国内的签名检测方式也是“千奇百怪”。发展至今每种方法都有一些绕过或者对抗手段,这些方法很难说就一定准 ,但是我们能做的就是取尽可能的提高攻击者的成本,提升Apk的签名检测能力,防止灰黑产进行攻击。基础的什么Java获取签名信息这种基础方案,这里暂时跳过 ,不在过多叙述。
辛苦开发的 App 被山寨?阿里帮你为 APK 上把加固锁
qq_53058639的博客
02-13 331
根据国家互联网金融风险分析技术平台监测数据显示:截至 2020 年 5 月底,共发现个互联网金融仿冒 App ,仿冒 App 下载量高达万次。
APK加固原理详解
seevc的专栏
04-07 6775
一、前言 之前使用的360加固,挺好用的,从2021年底的时候限制每天每个账号仅上传2次apk(免费的,不知道VIP的是不是这样)。通过这个事情,感觉技术还是掌握在自己手里稳妥点,不用受制于人,想怎么玩就怎么玩。 通过技术调研有两条路子可以走: 方式一:直接对apk进行加密,启动应用时通过壳程序去加载apk运行; 方式二:仅对原apk的dex文件进行加密,启动应用时对dex解密,通过DexClassLoader进行加载; 本文主要是参考了360免费加固的思路,所以主要研究的方式二。 二、原理 先
对apk进行加固
qq_39937301的博客
06-28 1584
最近app打包上架,我们公司使用的是免费的360加固宝 1:http://jiagu.360.cn/#/global/download 首先,得先去上面的这个网址去下载我们要用的这个加固宝 2:下载好了,当然就需要去注册(个人或者公司的)账号和密码 3:注册好了,然后登陆上去 4: 签名设置中,勾上自动签名,其他的都要填写(和自己打包的一样) 其他的设置就把勾上的去...
android 签名校验
06-07
Android 签名校验是指在 Android 应用安装时,检查应用是否被篡改或者来自于可信的开发者。每个 Android 应用都必须使用数字证书进行签名,以...总之,Android 签名校验Android 系统保证应用安全性的重要措施之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值