Android App运行时签名校验

最新推荐文章于 2025-06-17 11:51:29 发布
转载 最新推荐文章于 2025-06-17 11:51:29 发布 · 1.4k 阅读 · 4

为防止应用被反编译后重新打包,可采用运行时签名校验方式。本文整理了校验方法,先使用 keytool 获取签名的 sha - 1 值,命令为 keytool -list -v -keystore xxx.jks ,再用代码进行签名校验。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。
因为会经常用到,所以在这里整理了一下校验方式。

public class SignCheck {
    private Context context;
    private String cer = null;
    private String realCer = null;
    private static final String TAG = "SignCheck";
 
    public SignCheck(Context context) {
        this.context = context;
        this.cer = getCertificateSHA1Fingerprint();
    }
 
    public SignCheck(Context context, String realCer) {
        this.context = context;
        this.realCer = realCer;
        this.cer = getCertificateSHA1Fingerprint();
    }
 
    public String getRealCer() {
        return realCer;
    }
 
    /**
     * 设置正确的签名
     *
     * @param realCer
     */
    public void setRealCer(String realCer) {
        this.realCer = realCer;
    }
 
    /**
     * 获取应用的签名
     *
     * @return
     */
    public String getCertificateSHA1Fingerprint() {
        //获取包管理器
        PackageManager pm = context.getPackageManager();
 
        //获取当前要获取 SHA1 值的包名,也可以用其他的包名,但需要注意,
        //在用其他包名的前提是,此方法传递的参数 Context 应该是对应包的上下文。
        String packageName = context.getPackageName();
 
        //返回包括在包中的签名信息
        int flags = PackageManager.GET_SIGNATURES;
 
        PackageInfo packageInfo = null;
 
        try {
            //获得包的所有内容信息类
            packageInfo = pm.getPackageInfo(packageName, flags);
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        }
 
        //签名信息
        Signature[] signatures = packageInfo.signatures;
        byte[] cert = signatures[0].toByteArray();
 
        //将签名转换为字节数组流
        InputStream input = new ByteArrayInputStream(cert);
 
        //证书工厂类,这个类实现了出厂合格证算法的功能
        CertificateFactory cf = null;
 
        try {
            cf = CertificateFactory.getInstance("X509");
        } catch (Exception e) {
            e.printStackTrace();
        }
 
        //X509 证书,X.509 是一种非常通用的证书格式
        X509Certificate c = null;
 
        try {
            c = (X509Certificate) cf.generateCertificate(input);
        } catch (Exception e) {
            e.printStackTrace();
        }
 
        String hexString = null;
 
        try {
            //加密算法的类,这里的参数可以使 MD4,MD5 等加密算法
            MessageDigest md = MessageDigest.getInstance("SHA1");
 
            //获得公钥
            byte[] publicKey = md.digest(c.getEncoded());
 
            //字节到十六进制的格式转换
            hexString = byte2HexFormatted(publicKey);
 
        } catch (NoSuchAlgorithmException e1) {
            e1.printStackTrace();
        } catch (CertificateEncodingException e) {
            e.printStackTrace();
        }
        return hexString;
    }
 
    //这里是将获取到得编码进行16 进制转换
    private String byte2HexFormatted(byte[] arr) {
 
        StringBuilder str = new StringBuilder(arr.length * 2);
 
        for (int i = 0; i <arr.length; i++) {
            String h = Integer.toHexString(arr[i]);
            int l =h.length();
            if (l == 1)
                h = "0" + h;
            if (l > 2)
                h = h.substring(l - 2, l);
            str.append(h.toUpperCase());
            if (i < (arr.length - 1))
                str.append(':');
        }
        return str.toString();
    }
 
    /**
     * 检测签名是否正确
     * @return true 签名正常 false 签名不正常
     */
    public boolean check() {
 
        if (this.realCer != null) {
            cer = cer.trim();
            realCer = realCer.trim();
            if (this.cer.equals(this.realCer)) {
                return true;
            }
        }else {
            Log.e(TAG, "未给定真实的签名 SHA-1 值");
        }
        return false;
    }
}

使用方法:
首先使用 keytool 获取签名的 sha-1 值,命令为 keytool -list -v -keystore xxx.jks (将 xx.jks 换成你的应用签名所用文件, 这里会提示输入 keystore 的密码 ps:签名文件在eclipse 是 .keystore 文件, 在 Android Studio中就是 .jks 文件))

然后使用如下代码校验签名:


SignCheck signCheck = new SignCheck(this,"27:19:6E:38:6B:87:5E:76:AD:F7:00:E7:EA:84:E4:C6:EE:E3:3D:FA");
  if(signCheck.check()) {
  //TODO 签名正常
  }else                {
  //TODO 签名不正确
  newAlertDialog.Builder(this).setMessage("请前往官方渠道下载正版 app, http://.....").setPositiveButton("确定",null).show();
  }



作者:奈文_摩尔
链接:https://www.jianshu.com/p/50f2a8db2ab0
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

小源子2016
关注
Android开发签名校验
聪哥的专栏
02-07 768
有一些平台需要我们做签名校验才能通过审核,其实做Android签名校验也不是很难
android检测签名代码,Android App运行签名校验
weixin_34542623的博客
05-26 1089
/*** Create By HaoRui*/public class SignCheck {private Context context;private String cer = null;private String realCer = null;private static final String TAG = "SignCheck";public SignCheck(Context co...
安卓应用签名校验
xiaomudouer的博客
03-15 1183
问题:app程序未对签名证书进行校验,被其他证书重新签名可正常启动 apk打包签名思路: Build -> Generate Signed Bundle/APK -> APK -> Create New 创建一个新的证书 (也可以选择一个已有的证书)->ok -> 选择生成的APK文件所在目录、选择apk版本 第1步就是我们打包的常规步骤 第2步用第三方梆梆软件加固 第3步将加固的apk进行第三方软件签名apk文件解压,在META-INF文件中可找到签名文件,文件后缀为.
Android 签名校验与绕过思路详解
最新发布
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
06-17 1189
本文详细探讨了Android应用签名校验机制及其攻防对抗策略。首先阐述了签名校验的核心原理,包括PackageInfo获取、CREATOR反序列化、文件I/O操作等环节。随后系统性地分析了五种常见绕过方法:拦截PackageInfo、替换CREATOR、重定向文件I/O、替换Application类以及系统调用拦截,并说明了各方法的适用场景。针对开发者提出的检测手段,文章也提供了相应的反制策略,如CREATOR检测绕过、内存校验对抗等。最后强调签名校验Android安全基础,但随着逆向技术的发展已演变为持
android_apk安全之运行签名校验
stormCoder的博客
03-14 3970
android_apk安全之运行签名校验候我们为了防止自己的应用被反编译后重新打包,不得不采取运行进行签名校验的方式。因为会经常用到,所以在这里整理了一下校验方式。代码当中的注释很详细,故不再多做说明了。public class AppSignCheck { private Context context; private String cer = null; priv
android 签名校验,Android5.0以上APP签名校验
weixin_39888412的博客
05-27 342
工作需要需要对App进行签名校验,项目基于5.1开发。流程是提取一个现有app提取签名作为验证码,对未安装的应用获取签名进行对比校验。提取已安装应用签名public static String getSingInfo(String pkgName, Context c) {try {PackageInfo packageInfo = c.getPackageManager().getPackage...
Android安全--运行验证签名
7huaping的专栏
07-20 1295
我们都知道现在疯狂地利用dex2jar、apktool等工具进行的反编译二次打包,除了做代码混淆之外,我们还得做一些事情让他们难度上升,间成本上升,当然这些都是简单的想法,还是能够被搞掉的,这些是防止那些自动工具破解。 思想是这样的:在运行, android PackageManger允许我们得到已安装应用程序的签名,利用检查签名的指纹,然后在程序中存上一个原装指纹可以放到此处,可以放到服务
app运行签名校验
Yzw_92_4_11的博客
05-12 2616
候我们为了防止自己的应用被反编译后重新打包,不得不采取运行进行签名校验的方式。 因为会经常用到,所以在这里整理了一下校验方式。 public class SignCheck { private Context context; private String cer = null; private String realCer = null; priva
Android APP去掉HTTPS签名校验
xxx823952375的专栏
04-27 2465
本文同步至http://javaexception.com/archives/30 问题: 之前的一个开源项目碰到了一个问题,Fix CertPathValidatorException: Trust anchor for certification path not found. 问题在于自建后台的站点用的是免费的ssl证书,okhttp默认会进行https签名校验,所以需要去掉这种校验。...
Android-安卓app运行秘钥生成和校验
08-13
"Android-安卓app运行秘钥生成和校验"这个主题主要涉及的是如何为你的Android应用程序创建安全的密钥对,以及如何在运行验证这些密钥来确保应用的安全性。在本文中,我们将深入探讨这个过程,包括密钥对的生成、...
Android10安装APP,Android10.0应用安装白名单——添加签名校验
weixin_30277297的博客
05-28 1207
背景为了避免系统被安装上各种各样的app,客户要求系统需要有个安装白名单的功能。思路白名单功能主要是通过确认要安装的应用是否在白名单上,如果不在,则不允许安装。筛选的标准可以通过包名进行判断。但单纯包名进行判断还是不够安全,这里是想再加个签名校验的机制,毕竟每个签名都是独一无二的。这个过程,主要难点在于如何获取各个apk签名。在说明如何在代码中获取到系统签名之前,先大概说下Android应用的签名...
Android签名验证代码
04-17
Android签名过程的验证过程,及其签名里面文件的生成过程的代码
android APP验证签名
54hk的博客
05-07 977
使用: /** * 对APP进行签名验证 */ public class SignatureValidator { public static final String TAG = "SignatureValidator"; private Context mContext; private String mSha1; public SignatureVa...
Android签名校验机制
gavin109的专栏
09-10 919
Android系统签名主要有ROM签名和应用程序APK签名两种形式。ROM签名是针对已经生成的Android系统ROM包进行签名。应用程序APK签名是针对开发者开发的应用程序安装包APK进行签名。前者是对整个Android系统包签名,后者只对Android系统中一个应用程序APK签名
Android 签名&校验
tq501501的博客
01-07 1917
Android 签名校验 签名校验Android 安全性中非常重要的一项。在build apk或是制作OTA包都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
安卓,应用签名校验
暂无内容
01-02 3230
签名校验原理:       安卓应用程序,使用apkTool.jar,或其他反编译工具很容易被篡改。       为了保证应用程序未被别人修改过,可以在应用中添加签名信息校验逻辑。(当应用被反编译再重新打包后,签名信息无法与我们使用的签名保持一致,进而签名校验不会成功)我们可以在签名校验失败让其自动退出,或执行我们希望的任意逻辑... 签名验证逻辑: package com.sc.s...
android apk签名(为什么 如何做 验证)
Zhangh423的专栏
06-03 1037
android apk签名(为什么 如何做 验证)这篇文章其实就是根据自己的疑问然后结合多个文章结合成的文章引用:  http://liangxh2008.blog.163.com/blog/static/112411679201041321646855/http://www.pgcw.com.cn/Newsdetail.asp?id=257565010http://www
Android签名签名校验
Shawn_Dut的专栏
09-27 5405
Keytool 是一个有效的安全钥匙和证书的管理工具.  Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。  Keytool 把钥匙和证书储
关于安卓开发签名校验
qq_40114753的博客
11-14 811
安卓开发签名校验
app一键去除签名校验
02-26
### 实现应用程序一键去除签名校验的技术方案 #### 方案概述 为了实现应用程序的一键去除签名校验功能,通常涉及以下几个方面的工作: - **逆向工程**:理解目标应用的内部结构及其工作原理。 - **定位签名校验逻辑**:识别并找到负责执行签名校验的具体代码位置。 - **绕过或移除校验机制**:采用适当方法来规避原有保护措施的影响。 具体实施过程中,可参照以下技术细节[^1]。 #### 技术细节说明 ##### 一、准备阶段 对于大多数安卓程序而言,其签名校验往往发生在启动初期。因此,在尝试解除此类防护前,需先准备好必要的工具集,比如APKTool用于解压和重新打包APK文件;JEB或其他IDE环境辅助阅读源码;以及IDA Pro等二进制分析平台帮助深入探究native层逻辑。 ##### 二、查找签名校验点 利用字符串匹配或者正则表达式搜索的方式,在项目中搜寻诸如`signature`, `verifySignature()`等相关关键词,以此快速锁定可能存在的校验入口。另外,也可以借助静态分析手段查看是否存在对特定API调用的情况,例如`PackageInfo.signatures`属性访问或是`PackageManager.getPackageInfo().signatures`方法调用实例[^2]。 ##### 三、处理不同类型的签名校验方式 针对不同的签名校验形式采取针对性策略: - 对于简单的基于资源文件(如META-INF目录下的*.RSA/*.DSA证书)对比情况,可以直接删除对应的条目或将它们替换成其他无害的内容; - 如果涉及到动态计算哈希值并与预存结果对照,则考虑调整算法输入参数或篡改最终输出以满足条件; - 当遇到更复杂的场景,特别是当部分运算被下沉到C/C++层面完成,就需要运用frida-gadget或者其他hook框架拦截关键函数调用链路,并按照需求伪造返回数据流[^3]。 ##### 四、测试与优化 经过上述改造后的版本应当进行全面的功能性和稳定性检测,确保不会因为改动而引发新的异常状况。同也要注意保持用户体验不受影响的前提下尽可能简化操作流程,使得整个过程接近“一键化”。 ```bash # 使用apktool反编译apk apktool d your_app.apk -o output_folder/ # 修改smali代码或res/xml中的配置项... vi ./output_folder/smali/com/example/app/MainActivity.smali # 或者直接编辑AndroidManifest.xml改变application节点名称 sed -i 's/<application android:name=".*">/<application>/g' ./output_folder/AndroidManifest.xml # 执行rebuild & sign命令生成新apk apktool b output_folder/ jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore dist/your_app_unsigned.apk alias_name zipalign -v 4 dist/your_app_unsigned.apk final_your_app.apk ``` #### 安全提示 值得注意的是,虽然以上介绍了一些基本思路和技术要点,但在实际应用场景里应谨慎行事。非法破解他人受版权保护的作品不仅违反道德规范还触犯法律底线,请务必尊重开发者权益!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值