Apk签名,安装校验过程

最新推荐文章于 2025-06-19 19:24:47 发布
原创 最新推荐文章于 2025-06-19 19:24:47 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Apk签名过程包括生成MANIFEST.MF(记录文件hash值)、使用私钥加密生成CERT.SF,以及放入MEAT-INF的CERT.RSA公钥。解密时,通过公钥解密CERT.SF并与MANIFEST.MF对比验证完整性,同时校验apk文件的hash值。若所有步骤验证成功,Apk即可安装。重新签名允许删除原有签名文件并用新私钥签名。

原文地址 https://www.jianshu.com/p/1e8cfea539e6

首先要了解是整个应用生成的过程

 

编译过程 .png

 

再来看一下最后生成的apk解压后的文件结构

 

Apk结构.png


这里主要关注未签名和签名的apk的区别
未签名的apk是没有MEAT-INF文件夹的,只有签名的apk才有这个文件夹。分别来看一下这个文件夹下的文件的含义

MANIFEST.MF

这个是校验应用完整性的文件,里面的结构是apk中每个文件生成的hash值

CERT.SF

这个是签名文件,是对MANIFEST.MF进行加密的

CERT.RSA

这个是公匙,用于解密使用

加密的过程

无论是debug还是release包都是要有签名文件的,我们在生成release包的时候也是先生成我们自己的私匙
1,为我们apk中文件都生成校验唯一性的hash值,生成MAINIFEST.MF文件
2,使用我们生成的私匙加密MANIFEST.MF生成CERT.SF,用于方式MAINIFEST.MF被篡改
3,

最低0.47元/天 解锁文章
APK签名流程
astroyang的博客
04-25 444
Android的APK签名主要分为两个过程: 1.生成摘要 这里生成摘要采用的是SHA-1算法。如下图所示: 对Android sources中的a,b,c进行SHA-1运算,得到摘要文件.md;在MANIFEST.MF中包含所有文件内容的摘要值。(注意:并不包括该签名目录下的文件内容。);而在CERT.SF中保存的是MANIFEST.MF的摘要值以及MANIFEST.MF中每一个摘要项的摘
Frida绕过APK签名校验
飞得更高肥尾沙鼠
07-30 2080
如果代码被混淆,我们无法通过搜索关键字定位到签名校验代码位置,就需要使用firda进行hook定位。执行Application(attach,onCreate方法)android.content.Context保存应用环境信息。可以尝试使用签名关键字搜索或hook的方式去定位关键代码。执行MainActivity(onCreate方法)获取安卓系统信息和APP的信息。执行开屏界面Activity。Signature类。............
如何给apk文件签名(一)
热门推荐
ShanDong_Chu
06-18 1万+
apk文件签名主要分三步,创建证书(如果没有)-->签名-->优化(可选 ) 1)使用jdk的keytool工具生成签名用的证书 > keytool -genkey -v -alias CERT -keyalg RSA -keysize 2048 -validity 10000 -keystore CERT.keystore  创建过程需要输入一些标识信息和密码,一
APK签名
weixin_33802505的博客
07-17 170
为什么80%的码农都做不了架构师?>>> ...
Android验证apk签名
zhengjuqiang的博客
04-26 2685
1.验证apk签名 打开待查看的apk,将其中META-INF文件夹解压出来,得到其中的CERT.RSA文件 $ keytool -printcert -file META-INF/CERT.RSA 2.apk签名 jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkIn] [
apk签名过程
important0534的专栏
03-17 369
为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的Package Name来混淆替换已经安装的程序,我们需要对我们发布的APK文件进行唯一签名,保证我们每次发布的版本的一致性(如自动更新不会因为版本不一致而无法安装)。   在这里介绍两种签名的方法如下: 1、在命令行对apk签名: 创建key,需要用到keytool.exe (位于C:\Program Files\Jav
APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序...总之,APK签名校验工具是开发和测试过程中不可或缺的辅助工具,它可以帮助开发者绕过签名验证,提高效率。但同时也需要谨慎使用,以保障应用的安全性和用户的隐私。
java签名源码-ApkSignatureKiller:一键破解APK签名校验
06-05
一键破解APK签名校验 参考自,在其基础上进行了部分改进,并用纯 Java 实现。 原理 通过插入代码到 Application 入口,hook 了程序中 PackageManager 的 getPackageInfo 方法,改变了其获取到的签名信息。 处理步骤 ...
Android Apk去掉签名以及重新签名的方法
01-05
Android开发中很重要的一部就是用自己的密钥给Apk文件签名,不经过签名Apk文件一般是无法安装的,就算装了最后也是失败。 网上流传的“勾选允许安装未知来源的应用”其实跟签不签名没啥关系,说白了就是允许安装不...
Android apk签名方法介绍
weixin_34194087的博客
05-30 302
还望支持个人博客站:http://www.enjoytoday.cn 参考博客:http://www.enjoytoday.cn/posts/203 为什么要签名 在介绍签名方法之前,首先我们来了解下,android系统为何需要我们签名后才可安装运行apk,其实这个签名和我们生活中的信用卡签名并无本质不同,就是一个对apk身份的验证,对于apk的一种担责行为。apk前面采用...
APK签名流程介绍
Yoryky的专栏
08-03 1287
实际上,现在Android开发IDE自带签名功能,但是有时我们还是可能遇到自己签名apk的场景的,比如你有一个未签名apk,但是你要adb install到device上,这时我们在adb install之前就必须对该apk进行签名处理才能install成功,这篇文章就简单的介绍下apk签名流程吧。 1、生成签名证书 签名需要签名证书,签名证书类型实际上是有很多的,如jks、keysto...
APK签名流程详解
技海淘金
11-29 9051
本文最好对照我的APK签名解析示例进行阅读. 示例中的关键文件说明: keys - 存放签名公私钥的目录 signed_logcat.apk - 已经使用keys目录中的密钥签名后的apk signed_logcat - signed_logcat.apk解压出来的内容 sign.cmd - 对apk签名的批处理命令 signapk.jar - java版本的apk签名工具
Android APK签名流程
L_one_J的博客
04-02 387
为了防止APK再传送的过程中被第三方篡改 GOOGLE引入了签名机制 签名过的APK文件比未签名APK文件多了一个META-AF文件夹 包含了一下三个文件 签名的信息就在这三个文件中 1 对APK文件夹中的文件逐一遍历SHA(或者SHA256)算法计算文件的信息摘要 然后进行BASE64编码后 作为"SHA1-Digest" 属性的值写入到MANIFEST.MF文件中的一个块中 改块有一个...
验证apk是否已签名
火星男孩的分享空间
10-11 634
先进入apk所在的目录,然后执行命令:jarsigner -verify apk名称即可,如下: D:\chromedownload\StateSwitchLayout-master\MyBuglyHoxFix> cd D:\chromedownload\StateSwitchLayout-master\MyBuglyHoxFix\app\build\outputs\apk\release...
【Android】Android安装包验证签名apk
青禾tester
05-06 1万+
1、去掉apk包的签名 //tips:未签名的包不能安装到手机上 (1)apk包改成zip格式,并解压zip包 (2)解压后进入文件夹META-INF,删除签名文件:.RSA/.SF (3)重新压回zip包(如包含之前的apk文件,需要删除改apk),改成apk格式 (4)命令行输入: jarsigner -certs -verbose -verify 新apk路径 返回: jar 未签名。 ...
Android逆向-基础与实践 (五) 签名校验
shuwangyong的专栏
06-23 1927
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
apk验证是否签名命令
pjdd123的博客
09-09 358
打开终端,cd到apk所在的目录,输入一下命令: jarsigner -verbose -certs -verify apk的名称.apk
【Android】用apksigner验证apk签名
think_ycx的专栏
11-14 7339
0x01 apksigner验证签名的方法 apksigner在android sdk中已经集成好了,验证apk签名使用方法如下,更多使用方法参考[1]。 apksigner verify -v --print-certs xxx.apk 参数: -v, --verbose 显示详情(显示是否使用V1和V2签名) --print-certs 显示签名证书信息 例...
apk签名流程
最新发布
y515278178的博客
06-19 375
APK文件内容(排除签名块)重新计算哈希值,得到新摘要。
apk签名校验
03-30
### 关于APK签名校验方法 APK签名校验的核心在于确保APK文件的完整性和来源可信性。这一过程主要依赖于签名信息的验证,具体来说: - Android在安装APK时会通过内置机制检查APK中的签名块(APK Signing Block)。如果签名不匹配或者被篡改,则校验失败[^2]。 - 签名校验涉及两个方面:一是确认签名的一致性;二是基于签名逐一校验文件的安全性和唯一性[^3]。 #### APK签名校验的具体流程 1. **读取签名数据** 安装程序首先从APK中提取存储的签名信息。此信息通常位于`META-INF/`目录下或新的APK签名块中[^1]。 2. **计算摘要值** 使用相同的哈希算法重新计算APK的内容摘要,并将其与签名中记录的摘要进行比较。如果不一致,则说明文件已被修改。 3. **公钥解密并验证** 利用开发者提供的公钥对签名部分进行解密操作,从而验证其合法性以及是否由原始开发人员签署。 4. **一致性检测** 如果是升级包,则还需要对比新旧版本之间的签名是否相同以保障应用连续性的安全性。 --- ### 解决APK签名验证失败问题 当遇到APK签名验证失败的情况时,可以考虑以下几个方向解决问题: - **检查工具链配置错误** - 确认使用的keystore文件及其密码无误; - 验证构建过程中指定的是正确的私钥用于签名。 - **修复损坏的APK文件** - 下载源再次尝试获取未受损的应用副本; - 对比本地生成的APK结构完整性是否存在异常情况如缺少必要组件等问题。 - **适配多渠道分发需求下的不同处理方式** - 当存在多个独立发行版时需特别注意各自对应的专属标识符设置正确与否以免混淆引起冲突现象发生。 以下是简单的Java代码片段展示如何手动加载已知路径上的`.apk`来进行基本的签名校验逻辑实现示例: ```java import java.io.File; import java.security.cert.CertificateFactory; import java.util.jar.JarFile; public class ApkVerifier { public static void main(String[] args) throws Exception { File apk = new File("/path/to/app.apk"); try (JarFile jar = new JarFile(apk)) { CertificateFactory certFact = CertificateFactory.getInstance("X.509"); var certs = jar.getManifest().getMainAttributes() .getValue("Signer-Certificates").split(","); for (String hexCert : certs){ byte[] decodedCert = javax.xml.bind.DatatypeConverter.parseHexBinary(hexCert); System.out.println(certFact.generateCertificate(new ByteArrayInputStream(decodedCert))); } } } } ``` 上述脚本仅作为概念演示用途,在实际生产环境中应更加严谨地对待敏感数据保护措施等方面的要求。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值