关于陌陌签名验证机制的研究

最新推荐文章于 2022-10-04 18:02:17 发布
置顶 最新推荐文章于 2022-10-04 18:02:17 发布
阅读量4.2k 收藏 5
点赞数
分类专栏: 逆向工程 文章标签: 陌陌 反盗版 破解 签名验证 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lynnchurch/article/details/48814477
版权

一、验证机制

当前APP防止二次打包反盗版的通常做法就是进行签名验证,获取APP的签名进行一定的算法加密然后发送到服务器,服务器拿到签名与合法的签名进行比对,如果是一致的则认为是正版,否则就是盗版。

获取签名是通过反射PackageParser进行的,代码如下: 

public static String getApkSignature(Context context, String apkPath) throws Exception {  
        Class clazz = Class.forName("android.content.pm.PackageParser");  
        Object packageParser = getParserObject(clazz);  
        Object packag = getPackage(context, clazz, packageParser, apkPath);  
        Method collectCertificatesMethod = clazz.getMethod("collectCertificates", Class.forName(
最低0.47元/天 解锁文章
FFmpeg入门详解之104:Win10快速安装OpenSSL(不用编译源码)
福优学苑@音视频+流媒体
10-21 2045
OpenSSL是web安全通信的基石,没有OpenSSL,可以说我们的信息都是在裸奔。要想了解OpenSSL,有几个前置的概念需要先熟悉一下:SSLSSL的全名叫做secure socket layer(安全套接字层),最开始是由一家叫网景的互联网公司开发出来,主要是防止信息在互联网上传输的时候不被窃听或者篡改,后来网景公司提交SSL给ISOC组织做标准化,改名为TLS。正在上传…重新上传取消有些同学可能会好奇,说好好的数据怎么就被窃听以及修改呢?
记一次逆向追踪请求ip的经历
BuquTianya的专栏
10-10 5387
@TOC 事发 某日下午,部门使用的测试环境出现问题,所有集成测试case都执行失败。查询测试用服务器发现是磁盘已满,造成请求失败。 应急处理 发现磁盘空间问题后,首先想到的是程序日志过大,因为这台机器上部署了部门的几十个应用,以前也出现过日志造成磁盘空间不足的问题。所以,迅速执行日志删除,发现集成测试case都可以正确执行了。 但是过了不一会,发现某些应用报服务已宕机。再去服务器看,磁盘空间又满...
陌陌APK签名校验
燕十二的BLOG
11-14 2323
想分析下陌陌的一些功能,想不到陌陌还做了蛮多保护。分析使用的是5.2版本,这个版本进行了加壳,先要把壳脱掉,脱壳因为有万能的脱壳机,这里过程就略过了,主要讲下过签名校验吧。     过签名校验看雪上有同学之前有讲过,不过是2012年的,陌陌的文件名已经完全不一样了,不过他的签名获取代码还是跟以前类似,可以借用来定位一下代码位置。        用apk改之理对脱完壳的APK进行分析
Android逆向实战过掉MoMo签名验证和反调试
老袁的博客
12-19 4437
大家好,我是老袁,一名逆向分析人员,现主要研究Android平台逆向;今天给大家分享一篇,如何过掉MoMo的签名验证和C++层反调试。大神勿喷。 一、使用环境及工具 1.系统:windwos 10(x64) 2.设备:Google nexus 5真机。 3.反编译工具: Android Studio 3.2 开发和调试smali代码 IDA pro 7.0 ...
依赖注入
FrancisLaw的学园
04-05 1274
在MVC架构中,整个系统被分离为许多单独的模块(仅仅对于根据用户请求得到合适的数据这一个功能来讲,至少存在M与C的分离),而MVC设计者的初衷之一就是实现各个模块间的松耦合,即相互间的关联性更小。      先举例如下:      在一个系统中,我们需要建立一个Email系统,实现Email的发送;      最简单的实现是直接创建一个EmailSender的模块,但是考虑到系统的扩
Java 接口与抽象方法
charxupengfei的博客
10-28 408
Java中的接口 在Java 9+版本中,接口的内容可以有: 成员变量其实是常量,格式: [public] [static] [final] 数据类型 常量名称 = 数据值; 注意: 常量必须进行赋值,而且一旦赋值不能改变。 常量名称完全大写,用下划线进行分隔。 接口中最重要的就是抽象方法,格式: [public] [abstract] 返回值类型 方法名称(参数列表); 注意:实现类必须覆盖重写接口所有的抽象方法,除非实现类是抽象类。 从Java 8开始,接口里允许定义默认方法,格式: [pu
陌陌X-SIGN算法HOOK
任雪飘的博客
10-04 2199
学习是必然的,一路并不是平台的到道路,总要有点意外和惊喜。人嘛!太顺不好。学习是枯燥的,是乏味的,我们学习算法是为了更好的拓展自己的思维和想法。今天我带大家学习一下陌陌x-sign算法,这个我们经常用到的签名算法。首先我们老样子, Fiddler 抓包,登录处有我们目标想要的算法。然后我们就x-sign算法开始研究算法 jadx-gui 反编译apk,搜索X-SIGN 跳到这个方法里面,查看这个方法,代码如下: 我们看到this.j.put(“X-SIGN”, a(bArr, this.j, this.
BSC Web3生态深度研究
weixin_43886457的博客
05-12 2753
截止2022年5月12日,BSC上共有项目 1365个,其中包括 DeFi 项目 782个,NFT项目392个,GameFi 299个,各类工具 167个,钱包 44个,验证器 5个,平台市场 11个,社区 57个。
PHP面试题(含答案),持续更新
qq_41469037的博客
08-25 4769
PHP面试题(含答案),持续更新(会有重复)
陌陌登录接口
cxyd4399的博客
05-28 4493
POST /api/v2/login?fr=725075202 HTTP/1.1 X-Span-Id: 0 X-LV: 1 X-KV: 633a59ac X-SIGN: 1Y930+XIDOAqQYy7GqDoMs7ZMjQ= X-Trace-Id: 7C930BB8-4DF2-4C03-8680-B5F8E0B98393 Connection: close Charset: UTF-8 Host: api.immomo.com cookie: SESSIONID=BF30B62F-F27C-F47E-5.
陌陌客户端+服务端ios源代码.zip
09-17
风靡IOS的陌陌,包含客户端服务端,此为ios源代码
Android逆向与破解浅析
09-03
入门级android逆向工程参考
fiddler Android下https抓包全攻略
weixin_33767813的博客
12-08 1213
fiddler Android下https抓包全攻略      fiddler的http、https的抓包功能非常强大,可非常便捷得对包进行断点跟踪和回放,但是普通的配置对于像招商银行、支付宝、陌陌这样的APP是抓不到包的,需要一些特殊的配置,本文把fiddler Android下https抓包的详细配置都罗列出来,供大家参考。 一、普通https抓包设置 先对Fiddler进行设置: ...
Android Open Source:陌陌(momo)源代码及实现(大部分UI+功能)
Zhang Phil
12-15 7306
 Android Open Source:陌陌(momo)源代码及实现(大部分UI+功能) 这是一个Android开源代码实现了陌陌的大部分ui及ui相关的事件操作及功能,代码运行结果如图所示: 该套源代码在github上的链接地址是:https://github.
关于某社交类app安全分析及app防止反编译的方法
每天积累一点,一年后你会发现,自己变化很大
05-24 1296
这款社交类APK是无数宅男宅女的挚爱,但是听说他们对这款app进行了非常严密的保护,防止用户进行二次打包。现在我们就来分析下这款app的安全性到底如何!     我们通过某APK代码安全免费检测平台,对这款手机软件进行了APK的源代码安全分析检测。可以看出这款手机软件未做很高级的加密保护,只是对APK进行了混淆源码和防二次打包的基础加密保护。下面我们通过对APK的源代码分析,看一下这款手机软
bugku-杂项-妹子的陌陌(黑白反色、AES解密)
Sea_Sand息禅
04-07 936
下载文件,foremost分解出一个压缩包,但是解压需要密码,图片上写到:喜欢我吗. 这就是密码(不要忘了最后的点),解压后得到txt文件: 嘟嘟嘟嘟 士兵:报告首长!已截获纳粹的加密电报! 首长:拿来看看 电报内容: ..../-/-/.--./---.../-..-./-..-././-./-.-./---/-.././.-.-.-/-.-./..../.-/..../..-/--...
反编译
mark 一下
08-16 882
ApkSignatureKiller-master 去签名验证 Androidkiller    1.java8 2.更新apktool 3.连接手机模拟器 D:\下载\AndroidKiller_v1.3.1\bin\adb> .\adb.exe connect 127.0.0.1  (系统变量没有,“.\”指定当前目录下的运行文件)...
【转】Android调试的必杀技——反汇编
BonderWu的专栏
08-15 4717
  转一位大牛的博文,对作者敬礼。以前也遇见过同样的问题,当时想的就是通过其他方法绕过去。看到大牛的解决方案,的确佩服万分。其实,以前在Moto的时候,遇见Core Dump问题几乎就是用同样方法来定位的。为啥自己以前就想不到呢?以后遇见问题一定要多动脑筋。 转自:http://my.unix-center.net/~Simon_fu/?p=527      在移植Android过程中会遇到很多Crash的事情。一般这些问题都可以通过看代码能解决,当然也有一些比较难搞的问题,非常难找到头绪,在 log
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值