android签名校验代码,Android签名验证解析

最新推荐文章于 2025-03-13 12:55:04 发布
最新推荐文章于 2025-03-13 12:55:04 发布
阅读量1.6k 收藏
点赞数
文章标签: android签名校验代码
本文详细解析了Android安装APK时的签名验证过程,包括知识回顾、签名验证解析两大部分。首先介绍了签名完成后生成的MANIFEST.MF、CERT.SF和CERT.RSA文件的作用。接着详细阐述了验证过程中如何收集签名、验证MANIFEST.MF和CERT.SF文件,以及如何对比CERT.RSA文件以确认签名的正确性。通过对apk中每个文件的数据摘要值与签名的比对,确保了APK的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、本文主要内容

知识回顾

签名验证解析

总结

本文介绍下Android在安装apk时,对签名的验证过程

2、知识回顾

在Android签名过程详解一文中,我已经详细说明签名的过程以及为什么要这么做,一起回顾下,当签名完成后,生成的3个文件分别有什么作用:

对Apk中的每个文件做一次算法(数据摘要+Base64编码),保存到MANIFEST.MF文件中

对MANIFEST.MF整个文件做一次算法(数据摘要+Base64编码),存放到CERT.SF文件的头属性中,在对MANIFEST.MF文件中各个属性块做一次算法(数据摘要+Base64编码),存到到一个属性块中。

对CERT.SF文件做签名,内容存档到CERT.RSA中

让我们带着这些基础知识来看看签名的验证过程

3、签名验证解析

Android Apk安装过程解析一文中阐述了apk安装过程,其中在 installPackageLI 方法中将验证签名。

//收集签名并验证

try {

pp.collectCertificates(pkg, parseFlags);

} catch (PackageParserException e) {

res.setError("Failed collect during installPackageLI", e);

return;

}

跟踪collectCertificates方法,它在 PackageParser 类当中:

private static void collectCertificates(Package pkg, File apkFile, int flags)

throws PackageParserException {

final String apkPath = apkFile.getAbsolutePath();

StrictJarFile jarFile = null;

try {

jarFile = new StrictJarFile(apkPath);

// Always verify manifest, regardless of source

//验证apk有没有androidmenifest.xml文件,如果没有则抛出异常

final ZipEntry manifestEntry = jarFile.findEntry(ANDROID_MANIFEST_FILENAME);

if (manifestEntry == null) {

throw new PackageParserException(INSTALL_PARSE_FAILED_BAD_MANIFEST,

"Package " + apkPath + " has no manifest");

}

final List toVerify = new ArrayList<>();

toVerify.add(manifestEntry);

// If we're parsing an untrusted package, verify all contents

//如果是不被信任的应用,那么将apk中除文件夹、META-INF文件夹内的文件、androidmenifest.xml的其它文件entry都添加到要验证的列表中

if ((flags & PARSE_IS_SYSTEM) == 0) {

final Iterator i = jarFile.iterator();

while (i.hasNext()) {

final ZipEntry entry = i.next();

if (entry.isDirectory()) continue;

if (entry.getName().startsWith("META-INF/")) continue;

if (entry.getName().equals(ANDROID_MANIFEST_FILENAME)) continue;

toVerify.add(entry);

}

}

// Verify that entries are signed consistently with the first entry

// we encountered. Note that for splits, certificates may have

// already been populated during an earlier parse of a base APK.

//验证每一个entry

for (ZipEntry entry : toVerify) {

//loadCertificates方法中将验证MANIFEST.MF文件以及CERT.SF

final Certificate[][] entryCerts = loadCertificates(jarFile, entry);

if (ArrayUtils.isEmpty(entryCerts)) {

throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,

"Package " + apkPath + " has no certificates at entry "

+ entry.getName());

}

final Signature[] entrySignatures = convertToSignatures(entryCerts);

if (pkg.mCertificates == null) {

pkg.mCertificates = entryCerts;

pkg.mSignatures = entrySignatures;

pkg.mSigningKeys = new ArraySet();

for (int i=0; i < entryCerts.length; i++) {

pkg.mSigningKeys.add(entryCerts[i][0].getPublicKey());

}

} else {

//签名对比,相当于验证CERT.RSA中文件的内容

if (!Signature.areExactMatch(pkg.mSignatures, entrySignatures)) {

throw new PackageParserException(

INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES, "Package " + apkPath

+ " has mismatched certificates at entry "

+ entry.getName());

}

}

}

} catch (GeneralSecurityException e) {

throw new PackageParserException(INSTALL_PARSE_FAILED_CERTIFICATE_ENCODING,

"Failed to collect certificates from " + apkPath, e);

} catch (IOException | RuntimeException e) {

throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,

"Failed to collect certificates from " + apkPath, e);

} finally {

closeQuietly(jarFile);

}

}

方法中存在一个列表,toVerify ,待验证的列表,然后通过循环将apk中除文件夹、META-INF文件夹内的文件以及androidmenifest.xml以外的文件都添加到此列表中来,以上代码是否感觉非常熟悉?

// If we're parsing an untrusted package, verify all contents

//如果是不被信任的应用&#

最低0.47元/天 解锁文章
Android V2签名校验原理分析
逍遥阁
09-02 7789
【前言】 V1签名作为一种历史悠久的签名方式,弊端也是比较明显的,一方面由于V1签名是对Apk内的单个文件逐一计算摘要进行签名校验的,所以要是Apk内的文件比较多,计算速度是非常慢的,同时又因为只对单个文件的完整性进行校验,那么对apk压缩包包体进行篡改的话,签名依然还是可以校验通过,完整性的校验工作做得不够到位。到了Android 7.0,V2签名方式就应运而生,V2签名一种全文件签名方案,它对压缩包的三大基本组成部分:数据区、中央目录记录区、中央目录记录结尾区进行分块,每小块 1MB,然后并行计
Android验证apk签名
zhengjuqiang的博客
04-26 2630
1.验证apk签名 打开待查看的apk,将其中META-INF文件夹解压出来,得到其中的CERT.RSA文件 $ keytool -printcert -file META-INF/CERT.RSA 2.apk打签名 jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkIn] [
APK签名校验绕过
weixin_30668887的博客
12-30 1614
0x01 Android签名机制 将APK重命名为zip文件,然后可以看到有个META-INF的文件夹,里面有三个文件,分别名为MANIFEST.MF、CERT.SF和CERT.RSA,这些就是使用signapk.jar生成的签名文件。 1、 MANIFEST.MF文件: 程序遍历update.apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个生成SHA1的数字签名信息,再...
Android APK签名及修改工具实战指南
最新发布
weixin_42181686的博客
03-13 2644
APK签名Android应用发布过程中的一个关键步骤,它确保了应用的完整性和来源的真实性。通过签名,开发者可以将个人身份与APK文件关联起来,这样当应用安装到用户设备上时,系统可以验证其来源,并确保应用自生成以来未被篡改。签名使用的是开发者持有的密钥对,包括一个公钥和一个私钥。公钥包含在APK文件内,而私钥则严格保密。在Android平台上,有两种主要的签名方案:V1方案和V2方案。V1方案是较早引入的,它通过给APK的各个部分分别签名,并将签名信息存储在META-INF目录中。
Android签名验证代码
04-17
Android签名过程的验证过程,及其签名里面文件的生成过程的代码
app运行时签名校验
Yzw_92_4_11的博客
05-12 2589
有时候我们为了防止自己的应用被反编译后重新打包,不得不采取运行时进行签名校验的方式。 因为会经常用到,所以在这里整理了一下校验方式。 public class SignCheck { private Context context; private String cer = null; private String realCer = null; priva
Android逆向-基础与实践 (五) 签名校验
shuwangyong的专栏
06-23 1365
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验、apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名的 Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
关于安卓开发签名校验
qq_40114753的博客
11-14 798
安卓开发签名校验
Android 签名验证
Men-DD
08-30 2221
Android 签名验证签名好了,用下面的可以验证是否签名成功 blog: keytool -genkey -alias signapk.keystore -keyalg RSA -validity 20000 -keystore signapk.keystore blog: jarsigner -verbose -keystore signapk.keystore -sig
java生成及验证android签名文件源码及生成签名文件
09-05
本文将深入探讨Java如何生成及验证Android签名文件,并解析源码中的相关概念。 首先,让我们理解Android签名文件的核心作用。Android签名文件(通常为`.keystore`格式)是一个包含了应用开发者私钥的加密文件,用于...
Android签名证书文件的解析签名校验的加强
01-10
### Android签名证书文件的解析签名校验加强 #### 一、Android签名机制概述 Android平台为了确保应用的安全性和来源的可信度,采用了一套严格的签名机制。这一机制确保了只有经过签名的应用程序(APK)才能够在...
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
08-31
签名机制是Android系统用来验证应用程序完整性和来源的一种手段。本文主要探讨如何利用SHA1哈希算法进行安全校验,特别是在与第三方服务如百度地图API的集成中。 SHA1(Secure Hash Algorithm 1)是一种广泛使用的...
安卓,应用签名校验
暂无内容
01-02 3214
签名校验原理:       安卓应用程序,使用apkTool.jar,或其他反编译工具很容易被篡改。       为了保证应用程序未被别人修改过,可以在应用中添加签名信息校验逻辑。(当应用被反编译再重新打包后,签名信息无法与我们使用的签名保持一致,进而签名校验不会成功)我们可以在签名校验失败时让其自动退出,或执行我们希望的任意逻辑... 签名验证逻辑: package com.sc.s...
Android 签名&校验
tq501501的博客
01-07 1892
Android 签名校验 签名校验Android 安全性中非常重要的一项。在build apk时或是制作OTA包时都需要做签名操作,并且在客户端做校验动作,保证升级安装过程的可靠性。 一、签名操作 1、在源码环境使用Android.mk文件编译时签名 # 源码签名文件目录:build\target\product\security\ # 可选签名类型如下 # 1、testkey:默认签名(非系...
Android签名验证简介
热门推荐
Robin Hu的专栏
11-30 1万+
本文博客原文 Android原生自带了个安装器(packages\apps\PackageInstaller), 通过其中的源码PackageParser.java (frameworks\base\core\java\android\content\pm) 我们大概就能知道其签名验证机制的验证过程。 其中主要涉及2个函数: 函数1 public boolean colle
Android签名签名校验
Shawn_Dut的专栏
09-27 5328
Keytool 是一个有效的安全钥匙和证书的管理工具.  Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。  Keytool 把钥匙和证书储
android 签名校验,Android5.0以上APP签名校验
weixin_39888412的博客
05-27 332
工作需要需要对App进行签名校验,项目基于5.1开发。流程是提取一个现有app提取签名作为验证码,对未安装的应用获取签名进行对比校验。提取已安装应用签名public static String getSingInfo(String pkgName, Context c) {try {PackageInfo packageInfo = c.getPackageManager().getPackage...
最常见的Android签名校验
m0_47587308的博客
10-05 2023
将Signature对象转化为MD5字符串的方法
android 签名验证
小河流水
08-31 597
/** * 签名算法 */public static final String SIGNATURE_ALGORITHM = "MD5withRSA"; /** * RSA最大解密密文大小 */ public static final String KEY_ALGORITHM = "RSA";public static String sign(byte[] data, String priva
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值