Android5.1.1 - APK签名校验分析和修改源码绕过签名校验

最新推荐文章于 2024-08-27 15:55:58 发布
最新推荐文章于 2024-08-27 15:55:58 发布
阅读量4.6k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Android安全 文章标签: android 源码 apk 阿里聚安全 签名校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AliMobileSecurity/article/details/52087911
本文深入分析了Android5.1.1中APK的签名校验机制,通过PackageParser类的collectCertificates方法展开讨论。讲解了如何通过修改源码绕过签名校验,包括在loadCertificates方法中捕获异常并返回null,以及在collectCertificates方法中遇到未签名文件时跳过异常处理,使得未签名的APK仍能安装。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Android5.1.1 - APK签名校验分析和修改源码绕过签名校验

作者:寻禹@阿里聚安全

APK签名校验分析

找到PackageParser类,该类在文件“frameworks/base/core/java/android/content/pm/PackageParser.java”中。PackageParser类的collectCertificates方法会对APK进行签名校验,在该方法会遍历APK中的所有文件,并对每个文件进行校验。下面是该方法的部分源码:
1

APK是一个ZIP格式的文件所以使用ZIP相关的类进行读写。上面代码中调用了loadCertificates方法,这个方法返回一个二维数组,如果APK中的文件签名校验失败那么loadCertificates方法会返回一个空数组(可能是null,可能是数组长度为0),按照上面代码的逻辑如果数组为空则会抛出异常。
loadCertificates方法的代码见下:
2

上面代码中is是JarFile.JarFileInputStream类的对象。loadCertificates方法中调用了readFullyIgnoringContents方法,在readFullyIgnoringContents方法中会调用JarFile.JarFileInputStream.read方法读取APK中一项的数据,在read方法

最低0.47元/天 解锁文章
Android安全开发之通用签名风险
AliMobileSecurity的博客
08-08 3267
Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。如果多个APP使用相同的签名,会带来怎样的风险?
安卓应用(APK)逆向工程
The wind of freedom blows
11-15 9515
参考:https://crifan.github.io/android_app_security_crack/website/ 上述网址讲解的非常详细,这里只粗略的整理用到的比较多的工具以及一些安卓逆向工程的知识点。 全文中提到的各种工具都可以csdn下载https://download.csdn.net/download/wozaipermanent/11958306在中下载得到,但是现在csd...
Android应用反编译实践工具:ApkTool
最新发布
weixin_28840811的博客
08-27 2745
本文还有配套的精品资源,点击获取 简介:在Android开发中,反编译APK文件是为了查看修改源代码资源文件,这对于学习逆向工程等场景非常有用。ApkTool是一个无需安装的Android应用反编译工具,能够将APK中的DEX文件转换为Java源代码,并解析资源文件。此外,它支持重新打包签名修改后的APK,以便在设备上运行。然而,ApkTool不能反编译混淆代码,且...
APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
APK签名校验绕过
weixin_30668887的博客
12-30 1624
0x01 Android签名机制 将APK重命名为zip文件,然后可以看到有个META-INF的文件夹,里面有三个文件,分别名为MANIFEST.MF、CERT.SFCERT.RSA,这些就是使用signapk.jar生成的签名文件。 1、 MANIFEST.MF文件: 程序遍历update.apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个生成SHA1的数字签名信息,再...
安卓逆向_19( 一 ) --- APK保护策略【APP打开就崩溃 之 霸哥apk签名校验
墨鱼菜鸡
07-11 489
From:霸哥磁力搜索apk签名校验:https://www.cnblogs.com/LuLuLuHao/p/12863978.html 霸哥磁力搜索app回编签名:https://www.ssfiction.com/archives/2293 https://www.cnblogs.com/LuLuLuHao 哔哩哔哩( IDA 分析 s...
Android-5.1.1-r1源码-系统签名文件(包含platform.pk8、platform.x509.pemsignapk
06-05
内容包含Android-5.1.1_r1源码中的3个文件:platform.pk8、platform.x509.pemsignapk。其中platform.pk8platform.x509.pem是在“build/target/product/security”中拷贝出来的,signapk是在“build/tools/signapk”中拷贝出来的。由于源码文件数量庞大,大小也几G,为方便大家使用测试系统签名,故放此共享。
apk签名工具,默认debug签名
11-14
直接将apk文件拖到软件窗口,就会自动去签名,并默认是debug签名,注意每台电脑的签名是不一样的,不能通用
【从源码apk】:构建自己的dex文件分析工具,打造专业安卓应用安全实验室
本论文详细介绍了Android应用从源码APK的构建流程,深入探讨了打包机制的原理、签名过程、资源编译优化,以及dex文件结构与分析工具的实现。此外,本文还重点打造了专业的Android应用安全实验室,探讨了应用安全...
APK打包结果分析:深入理解APK结构与内容
APK文件作为Android平台应用的主要分发格式,其结构与内部组件分析对于应用的开发、安全性性能优化至关重要。本文从APK文件的基本概念与结构入手,深入探讨了APK文件格式解析、构建流程、内容分析工具以及安全与...
一键去除签名验证的软件.apk
08-07
一键去除签名验证的软件.apk安卓用的
安卓apk签名密钥破解工具AndroidKeystoreBrute_v1.05.jar
10-15
使用安卓平台上架app时候需要签名,使用签名密钥签名apk文件的时候常常需要用到签名密钥的密码,当密码忘记的时候就只能通过一些匹配方法找到丢失的密码,这里是安卓apk签名密钥破解工具AndroidKeystoreBrute_v1.05.jar
Android 5.1 系统应用签名工具
10-25
Android 5.1系统签名工具(signapk.jar、platform.x509.pem、platform.pk8)
Android Apk去掉签名以及重新签名的方法
01-05
Android Apk去掉签名以及重新签名的方法 Android开发中很重要的一部就是用自己的密钥给Apk文件签名,不经过签名Apk文件一般是无法安装的,就算装了最后也是失败。 网上流传的“勾选允许安装未知来源的应用”其实跟签不签名没啥关系,说白了就是允许安装不从电子市场上下载的应用而已。 近几日需要修改一个Apk中JNI调用的.so文件,苦于没有apk源代码,只好研究了一下签名相关的问题。当然有很多第三方工具可以做到,但其实JDK中已经提供了强大的签名工具jarsigner。 1.去除签名 其实很简单,用WinRAR打开apk,找到META-INF文件夹,删除MANIFEST.MF之外的
Android逆向-基础与实践 (五) 签名校验
shuwangyong的专栏
06-23 1452
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权控制权,可用于安装更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
wa2231a的博客
01-29 2812
/** 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = “d0add9987c7c84aeb7198c3ff26ca152”; String nowSignMD5 = “”; try { // 得到签名的MD5 PackageInfo packageInfo = getPackageManager().getPackageInfo( getPackageName(), PackageManager.GET_SIG
Android反编译破解签名验证,Android证书生成,签名验证,虽然难,但学一次就够了!...
weixin_35547906的博客
05-25 841
引言从Android演进开始,APK签名就已经成为Android的一部分,并且android要求所有Apks都必须先签名,然后才能将其安装在设备上。关于如何生成密钥以及如何签名的文章很多。一个Apk,但我们将从安全角度进行研究。在对Apk文件进行反编译或反向工程之后,应查看哪个文件,以获取有关最初对应用进行签名的开发人员的更多信息。反编译APK文件解压缩文件或使用apktool后,取决于如何对文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值