android 证书验证流程分析_Android签名机制之---签名验证过程详解

最新推荐文章于 2024-06-23 12:46:50 发布
最新推荐文章于 2024-06-23 12:46:50 发布
阅读量1k 收藏 1
点赞数
文章标签: android 证书验证流程分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35489715/article/details/113003069
版权
本文详细分析了Android应用程序的签名验证过程,包括Apk文件中的每个文件摘要验证、MANIFEST.MF与CERT.SF的匹配以及CERT.RSA的证书签名验证。通过PackageParser类和JarVerifier类的代码解析,揭示了签名验证的三个关键步骤,强调了在签名验证失败时可能出现的错误信息。文章指出,一旦Apk内容被修改,必须重新签名才能成功安装。
摘要由CSDN通过智能技术生成

一、前言

今天是元旦,也是Single Dog的嚎叫之日,只能写博客来祛除寂寞了,今天我们继续来看一下Android中的签名机制的姊妹篇:Android中是如何验证一个Apk的签名。在前一篇文章中我们介绍了,Android中是如何对程序进行签名的,不了解的同学可以转战:

当然在了解我们今天说到的知识点,这篇文章也是需要了解的,不然会有些知识点有些困惑的。

二、知识摘要

在我们没有开始这篇文章之前,我们回顾一下之前说到的签名机制流程:

1、对Apk中的每个文件做一次算法(数据摘要+Base64编码),保存到MANIFEST.MF文件中

2、对MANIFEST.MF整个文件做一次算法(数据摘要+Base64编码),存放到CERT.SF文件的头属性中,在对MANIFEST.MF文件中各个属性块做一次算法(数据摘要+Base64编码),存到到一个属性块中。

3、对CERT.SF文件做签名,内容存档到CERT.RSA中

所以通过上面的流程可以知道,我们今天来验证签名流程也是这三个步骤

三、代码分析

我们既然要了解Android中的应用程序的签名验证过程的话,那么我们肯定需要从一个类来开始看起,那就是PackageManagerService.java,因为这个类是Apk在安装的过程中核心类:frameworks\base\services\core\java\com\android\server\pm\PackageManagerService.java

private void installPackageLI(InstallArgs args, PackageInstalledInfo res) {

……

PackageParser pp = new PackageParser();

……

try {

pp.collectCertificates(pkg, parseFlags);

pp.collectManifestDigest(pkg);

} catch (PackageParserException e) {

res.setError("Failed collect during installPackageLI", e);

return;

}

……

我们可以看到,有一个核心类:PackageParser

frameworks\base\core\java\android\content\pm\PackageParser.java

这个类也是见名知意,就是需要解析Apk包,那么就会涉及到签名信息了,下面我们就从这个类开始入手:

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_BAD_MANIFEST;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_BAD_PACKAGE_NAME;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_CERTIFICATE_ENCODING;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_MANIFEST_MALFORMED;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_NOT_APK;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_NO_CERTIFICATES;

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_UNEXPECTED_EXCEPTION;

我们看到了几个我们很熟悉的信息:

import static android.content.pm.PackageManager.INSTALL_PARSE_FAILED_NO_CERTIFICATES;

这个是在安装apk包的时候出现的错误,没有证书:

a879dbef99485d145faa77d365026d74.png

那么我们就先来查找一下这个字段:

private static void collectCertificates(Package pkg, File apkFile, int flags)

throws PackageParserException {

final String apkPath = apkFile.getAbsolutePath();

StrictJarFile jarFile = null;

try {

jarFile = new StrictJarFile(apkPath);

// Always verify manifest, regardless of source

final ZipEntry manifestEntry = jarFile.findEntry(ANDROID_MANIFEST_FILENAME);

if (manifestEntry == null) {

throw new PackageParserException(INSTALL_PARSE_FAILED_BAD_MANIFEST,

"Package " + apkPath + " has no manifest");

}

final List toVerify = new ArrayList<>();

toVerify.add(manifestEntry);

// If we're parsing an untrusted package, verify all contents

if ((flags & PARSE_IS_SYSTEM) == 0) {

final Iterator i = jarFile.iterator();

while (i.hasNext()) {

final ZipEntry entry = i.next();

if (entry.isDirectory()) continue;

if (entry.getName().startsWith("META-INF/")) continue;

if (entry.getName().equals(ANDROID_MANIFEST_FILENAME)) continue;

toVerify.add(entry);

}

}

// Verify that entries are signed consistently with the first entry

// we encountered. Note that for splits, certificates may have

// already been populated during an earlier parse of a base APK.

for (ZipEntry entry : toVerify) {

final Certificate[][] entryCerts = loadCertificates(jarFile, entry);

if (ArrayUtils.isEmpty(entryCerts)) {

throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,

"Package " + apkPath + " has no certificates at entry "

+ entry.getName());

}

final Signature[] entrySignatures = convertToSignatures(entryCerts);

if (pkg.mCertificates == null) {

pkg.mCertificates = entryCerts;

pkg.mSignatures = entrySignatures;

pkg.mSigningKeys = new ArraySet();

for (int i=0; i < entryCerts.length; i++) {

pkg.mSigningKeys.add(entryCerts[i][0].getPublicKey());

}

} else {

if (!Signature.areExactMatch(pkg.mSignatures, entrySignatures)) {

throw new PackageParserException(

INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES, "Package " + apkPath

+ " has mismatched certificates at entry "

+ entry.getName());

}

}

}

} catch (GeneralSecurityException e) {

throw new PackageParserException(INSTALL_PARSE_FAILED_CERTIFICATE_ENCODING,

"Failed to collect certificates from " + apkPath, e);

} catch (IOException | RuntimeException e) {

throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,

"Failed to collect certificates from " + apkPath, e);

} finally {

closeQuietly(jarFile);

}

}

这里看到了,当有异常的时候就会提示这个信息,我们在跟进去看看:

// Verify that entries are signed consistently with the first entry

// we encountered. Note that for splits, certificates may have

// already been populated during an earlier parse of a base APK.

for (ZipEntry entry : toVerify) {

final Certificate[][] entryCerts = loadCertificates(jarFile, entry);

if (ArrayUtils.isEmpty(entryCerts)) {

throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,

"Package " + apkPath + " has no certificates at entry "

+ entry.getName());

}

final Signature[] entrySignatures = convertToSignatures(entryCerts);

if (pkg.mCertificates == null) {

pkg.mCertificates = entryCerts;

pkg.mSignatures = entrySignatures;

pkg.mSigningKeys = new ArraySet();

for (int i=0; i < entryCerts.length; i++) {

pkg.mSigningKeys.add(entryCerts[i][0].getPublicKey());

}

} else {

if (!Signature.areExactMatch(pkg.mSignatures, entrySignatures)) {

throw new PackageParserException(

INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES, "Package " + apkPath

+ " has mismatched certificates at entry "

+ entry.getName());

}

}

}

这里有一个重要的方法:loadCertifi

最低0.47元/天 解锁文章
编程艺术家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
caltech101数据集
08-09
本数据集是caltech101数据集压缩包,完整有效,是深度学习用于图像分类的经典数据集。
Caltech行人数据集转化VOC格式
See_Star的博客
09-15 2554
该数据库是目前规模较大的行人数据库,采用车载摄像头拍摄,约10个小时左右,视频的分辨率为640x480,30帧/秒。标注了约249,884帧(约137分钟),350000个矩形框,2300个行人,另外还对矩形框之间的时间对应关系及其遮挡的情况进行标注。 下载好的Caltech行人数据集,解压放在Caltech文件夹内,目录情况如下图。 seq2jpg.py 将seq文件转换为jpg文件。 # -*- coding:utf-8 -*- import os import fnmatch def open_
Android逆向-基础与实践 (五) 签名校验
最新发布
shuwangyong的专栏
06-23 128
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验、apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名的 Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
vite结合ts使用mock模拟数据,实现前后端异步开发
Michael_Hzs的博客
02-17 1264
vite结合ts,vue3 使用mock模拟数据,实现前后端异步开发
【车辆行人检测和跟踪数据集及代码汇总】
weixin_51154380的博客
08-20 1万+
【车辆行人检测和跟踪数据集及代码汇总】
目标检测任务中常用的数据集格式(voc、coco、yolo)
热门推荐
githubcurry
04-24 1万+
在目标检测任务中,常见的数据集格式有三种,分别为Pascal VOC(voc)、coco、yolo。
android 证书验证流程分析_探究 Android 签名机制和原理
weixin_39566864的博客
01-08 247
背景最近在调研一个测试工具的使用,在使用中发现被测试工具处理过的apk文件经安装后打开就会崩溃,分析崩溃日志后原因是签名不一致导致的。说到Android中的签名,可能大家都知道签名的目的就是为了保护apk文件的安全,如果apk被恶意篡改后经过安装校验的时候,就会出现校验失败,导致安装包安装失败的情况。但如果更深去问一下Android签名机制和原理,是不是就被问住了?接下来的就让我们去探究...
Android 安全加密:数字签名和数字证书详解
09-01
Android系统中,安全加密是保障应用程序和用户数据安全的关键技术之一。其中,数字签名和数字证书是两个核心概念,它们在确保信息的完整性和验证发送者身份方面扮演着重要角色。 数字签名是一种利用非对称加密...
Android中APK签名工具之jarsigner和apksigner详解
01-05
apksigner是Google官方提供的针对Android apk签名验证的专用工具, 位于Android SDK/build-tools/SDK版本/apksigner.bat 不管是apk包,还是jar包,本质都是zip格式的压缩包,所以它们的签名过程都差不多(仅限V1签名),...
详解Android v1、v2、v3签名(小结)
08-25
"详解Android v1、v2、v3签名机制" Android 签名机制Android 系统中的一种安全机制,它可以确保 APK 文件的来源真实性和完整性。Android 签名机制使用数字签名技术来实现对 APK 文件的签名。下面我们将详细介绍 ...
go语言常用的函数-比较两个文件夹里文件是否一致
01-07
go语言常用的函数-比较两个文件夹里文件是否一致 func comparefiles(srcFolder string, destFolder string) bool { var err error var srcFolderfiles []string err = filepath.Walk(srcFolder, func(path string, info os.FileInfo, err error) error { if err != nil { return err } if !(info.IsDir()) { srcFolderfile
VOC行人车辆数据集 VOC_person_car-dataset.zip
04-09
VOC行人车辆数据集,从VOC数据集中提取得到,可以用于行人车辆检测 数量:15454 标签格式: txt和xml 类别:person、car
Android开发—知识点精讲10—Android六种核心安全机制-加密、密钥、签名证书视频教程下载(8课程).txt
07-18
### Android六种核心安全机制详解 #### 一、引言 在移动互联网时代,随着智能手机功能日益强大,用户越来越依赖于手机完成各种重要的任务,如银行转账、个人信息管理等。因此,确保移动设备的安全性变得至关重要。...
iOS APP签名机制原理详解
01-20
总之,iOS APP签名机制是苹果对应用安全性的核心保障,它通过双层签名和描述文件验证,确保了所有在iOS设备上运行的应用都是经过官方授权的,同时限制了权限的滥用。对于开发者而言,理解和掌握这一机制至关重要,...
【目标检测】指定划分VOC数据集训练(车类,行人类,狗类...)
向往有那么一天梦幻的步态识别落地,开花❀!
10-10 4832
目标检测中,训练COCO数据(标注好的)时,我们不一定想要全部的80个类别的数据,而是想要一些指定类别的数据作用于特点的任务。比如:行人检测、车辆检测和动物检测等等。本文正是介绍如何使用Python将COCO数据集(标注好的)进行划分。
vue3+ts集成mockjs
zxxAdela的博客
04-29 2873
文章目录安装mockjs在src文件夹下创建mock文件夹index.tstyping.tsapis1.tsapis2.tsmain.ts引入mockjsshim-vue.d.ts添加声明在根目录package.json中的scripts新增一种运行方式"serve:mock"在根目录创建对应的.env.mock文件在终端执行npm run serve:mock就进入mock模式了在页面调用接口 参考了两篇文章并结合自己的实际使用整理了这篇内容,有更好的方法希望大家告诉我哈 文章一 文章二 安装mockjs
@ types / mockjs的作用
cream66的博客
09-15 1724
@ types / mockjs是mockjs的TypeScript定义 在ts文件中import Mock from 'mockjs';时报错无法找到模块“mockjs”的声明文件。“/work/dana_work/nodejs_project/dip-bms-web/node_modules/mockjs/dist/mock.js”隐式拥有 "any" 类型。 这个时候npm install @types/mockjs安装@types/mockjs依赖即可。 ...
vite3+vue3+ts环境中使用mock生成模拟数据
10-06 1550
依次单击每个按钮进行测试,发现能够请求到相对应的测试数据。// 引入mock文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值