180725 安卓-签名机制

最新推荐文章于 2024-06-22 22:31:55 发布
最新推荐文章于 2024-06-22 22:31:55 发布
阅读量205 收藏
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/81212295
版权

签名原理

发送者将公钥公开,对于发送数据的信息摘要用私钥加密
接受者用公钥解密该内容,与接收数据的信息摘要进行对比
从而保证
1. 接收到的数据与发布数据相同
2. 发送者是公开公钥的私钥持有人

与HTTPS相同,公钥必须可信才有意义
因此签名也需要携带一个由可信CA机构签发的证书,证明该公钥来自可信的发送者

具体实现

signapk对apk签名后会多出一个META-INF文件夹,其中包含MANIFEST.MF、CERT.SF和CERT.RSA三个文件

MANIFEST.MF

该文件包括包中所有文件的数据摘要

CERT.SF

将MANIFEST整体的数据摘要保存后,每个块(包括Name、文件名、消息摘要)再单独保存一份数据摘要

CERT.RSA

将CERT.SF用私钥计算出签名后,连同CA机构颁发的数字证书(包含公钥)一起存储

这样的结构使得当包中文件被篡改时会与MANIFEST.MF中的消息摘要不同,而如果修改MANIFESET.MF、则会与CERT.SF不同、最终通过CERT.RSA的签名保证不可篡改

奈沙夜影
关注
专栏目录
android v2签名机制,APK签名机制之——V2签名机制详解
weixin_30773813的博客
05-28 2630
通过前一篇Apk签名机制之——JAR签名机制详解的分析我们知道,JAR签名需要对apk内所有文件进行hash校验,当资源较多时签名验证速度较慢。为了加快验证速度并加强完整性保证,Andorid在7.0引入一种全文件签名方案V2。下面来看V2方案的具体设计原理。1. V2签名设计思想在了解V2签名结构前,先来了解下zip(apk)文件的结构。1.1 ZIP文件结构zip包结构zip文件分为3部分:数...
Android签名机制之---签名验证过程详解
尼古拉斯.赵四的博客
04-18 4698
一、前言 今天我们继续来看一下Android中的签名机制的姊妹篇:Android中是如何验证一个Apk的签名。在前一篇文章中我们介绍了,Android中是如何对程序进行签名的,当然在了解我们今天说到的知识点,这篇文章也是需要了解的,不然会有些知识点有些困惑的。 二、知识摘要 在我们没有开始这篇文章之前,我们回顾一下之前说到的签名机制流程: 1、对Apk中的每个文件做一次算法(数据摘要...
android镜像签名机制,Android签名机制
weixin_35323550的博客
05-30 463
文章摘要Android签名机制流程图.PNG为何需要Android签名防止APK被恶意篡改后,二次签名打包。基本概念1.数据摘要:本质上是一种算法;原始信息按照一定算法规则提取信息,提取出来的信息就是数据摘要。特点:固定长度相同的输入必定产生相同的输出不可逆性2.签名文件和证书文件:必定成对出现;数字签名:非对称加密技术和数据摘要的一个应用,可以解决可靠通信的问题。数字证书:主要用来解决公钥安全发...
Android签名机制(V1)
linglingchenchen的专栏
03-30 2229
Android签名v1
Android签名机制之---签名过程详解
尼古拉斯.赵四的博客
04-18 1802
​一、前言 又是过了好长时间,没写文章的双手都有点难受了。今天是圣诞节,还是得上班。因为前几天有一个之前的同事,在申请微信SDK的时候,遇到签名的问题,问了我一下,结果把我难倒了。。我说Android中的签名大家都会熟悉的,就是为了安全,不让别人修改你的apk,但是我们真正的有了解多少呢?所以准备两篇文章好好介绍一下Android中签名机制。 在说道Android签名之前,我们需要了解的几个知...
Android数字签名机制和应用场景
虎哥LoveDroid
10-28 2014
目录 1 数字签名介绍 1.1 背景 1.2 机制 1.3 使用 1.3.1 ssh-keygen 1.3.2 keytool 2 Android使用数字签名的场景 2.1 未签名的APK VS 签名后的APK 2.2 应用层面:Android对APK的签名要求 2.2.1 Android拒绝安装没有签名的APK 2.2.2 Android不校验证书的合法性 2.2.3 当签名不匹配时,APK升级会失败 2.3 系统层面:Android基于数字签名的一些机制 2.3.1 四种不同
Android系统安全 — 5.1-APK签名机制原理
qincheng168的博客
07-21 1227
APK签名机制原理
Android 签名机制
qq_35592743的博客
05-27 268
Android 签名机制 签名的作用 升级应用。只有以同一个证书签名,系统才会允许安装升级的应用程序。(升级时签名证书和包名都要相同)。 防止应用被恶意篡改。只有签名相同的文件才能覆盖安装。 应用程序模块化。同签名的多个应用,可运行在同一个进程中,此时可以把应用程序以模块的方式进行部署,用户可独立升级其中的一个模块。 代码/数据共享。以同一个证书对多个应用程序进行签名,利用基于签名的权限检查,就...
安卓为啥要加签名机制
最新发布
2401_84909878的博客
06-22 455
安卓签名机制的技术难点主要体现在确保应用程序的完整性和安全性上。首先,签名机制需要确保APK文件在发布后被篡改的可能性降到最低。其次,签名机制还需要确保应用程序的唯一性和来源的可追溯性,以防止应用程序被仿冒或滥用。这个示例展示了如何使用私钥对APK文件进行签名,并将签名和公钥证书写入APK文件的META-INF目录。请注意,这个示例仅用于说明签名机制的实现过程,并不包含完整的签名和验证逻辑。在探讨安卓为何需要加入签名机制时,我们需要从技术难点、面试官关注点、回答吸引力以及代码举例等多个维度进行详细的解析。
安卓-签名系统应用sign_kk4.4.zip
08-06
Android采用数字签名机制来验证应用程序的身份,确保其未被篡改,并控制其在设备上的安装和运行权限。每个APK在发布前都需要进行签名,以便Android系统能够确认其来源和完整性。对于普通应用,这通常使用常规的...
uniapp安卓离线sdk_Android-SDK@3.2.3.81011_20210826
04-18
5. **打包发布**:完成开发和测试后,使用Android Studio进行签名打包,生成APK文件,即可发布到应用市场。 五、注意事项 1. 保持uniapp框架和Android-SDK版本同步,避免因版本不匹配引发的问题。 2. 注意Android...
安卓pwn - De1taCTF(BroadcastTest)
热门推荐
whklhhhh的博客
05-05 2万+
BroadcastTest 背景 逆向APK可知程序中仅有MainActivity$Message和三个Receiver类。 前者实现了一个Parcelable类,后三个则是广播。 其中Receiver1是export的,接收并向Receiver2发送广播,Receiver2和3则非export,只能接收内部发送的广播。 功能为Receiver1接收base64传入的data,然后将其反序列化得到...
190702 安卓-Frida-gadget
whklhhhh的博客
07-02 2万+
开始鹅厂实习的社畜搬砖生活(°∀°)ノ frida-gadget的优势在于通过对应用重打包,加入gadget.so的调用,从而实现frida的hook 这种途径避免了注入所需要的root权限 发现了一个现成的脚本,但测了一下似乎有一些问题,明天修一下看看 以下是手动流程 解包 apktool d xxx.apk -r选项可以使得不解析资源,但AndroidManifest.xml也不会解析,此时无...
190927 re-某恶作剧APK的分析
whklhhhh的博客
09-27 2万+
用JEB打开,首先扫一眼AndroidManifest.xml的相关信息 从包名可以看出 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fvszbl92-1569599143824)(https://i.loli.net/2019/09/27/ybnJIaoRwrq3tsX.png)] 是一个androlua项目,稍微搜一下就可以知道是用Lua写android。所以...
190825 reverse-ogeek初赛
whklhhhh的博客
08-25 2万+
好久没写博客了_(:з」∠)_回头有空补一下DEFCON的过程和题目复盘啥的… babyre 浏览一遍可以看出来很明显是一种压缩算法,简单搜了一下发现比较像LZ77,但是据说有很多变种,没找到什么好的实现就接着自己逆了 简单理解了一下原理,在buff内搜索与后17个字节相匹配的最大子串,如果有就记录下buff的下标和子串长度,没有则写入原始内容以供之后使用 简单来说就是所有数据仅出现一次,其他地方...
190705 安卓-对抗AndResGuard的重打包
whklhhhh的博客
07-06 2万+
换了一个apk实验后 apktool b -f -p. xxx也不行,仍然报资源错误 看了一下可能是鹅厂出的AndResGuard工具,会将资源文件夹/Res/xxx重命名为/r/x类的目录,导致资源解析出错 针对这个混淆有shakaApktool来对抗,但由于太久没有更新所以已经失修了 于是无奈回归apktool -r不解析资源文件、原样打包的思路 对于AndroidManifest.xml的二...
190409 逆向-RCTF2015(FlagSystem)
whklhhhh的博客
04-09 2万+
想起来前段时间搞了JEB3的泄露版,找了个安卓题来试试手 结果发现这题目也挺有意思的23333 提供的题目文件是一个二进制,十六进制查看器发现头部标着ANDROID BACKUP,显然就是个应用的备份文件了 查了一下可以通过abe.jar来解包,试了一下发现解出来的文件是乱码,毫无标志 于是找了一下文件解析,发现第三行为压缩标志位,源文件为0表示未压缩,于是将它改成1,再次解包,得到两个应用 看...
180122 逆向-Frida在Windows下的使用
whklhhhh的博客
01-23 1万+
1625-5 王子昂 总结《2018年1月22日》 【连续第479天总结】 A. Frida-windows B.Frida是相比Xposed更加轻量级的Hook框架 具体介绍就不赘述了使用方法大体为其他语言脚本(如Python)将js脚本发送给运行在另一端的frida服务端,服务端上的js引擎老师之前给出了Hook脚本,但是在windows上怎么都跑不起来: 问题出在该python脚本中
Android APK 签名机制详解
在Android中,签名是使用Linux的权限机制来控制的。Linux的权限机制是使用UID和GID来控制文件和目录的访问权限。在Android中,签名是使用UID和GID来控制APK文件的访问权限。 在Android中,签名是使用UserID来标识...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值