Android apk签名

最新推荐文章于 2025-07-01 22:40:47 发布
转载 最新推荐文章于 2025-07-01 22:40:47 发布 · 1.3k 阅读 · 1

本文介绍APK签名机制及其验证方法,包括签名文件的作用、验证原理及四种验证方式:使用keystore、shell脚本、Java代码及Android代码。文章详细解释了如何确保APK的安全性和一致性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://www.zhihu.com/question/20749413

http://www.cnblogs.com/tanlon/archive/2012/07/09/2583661.html

http://blog.youkuaiyun.com/wulianghuan/article/details/18400581


原理: 1、签名过的包会在apk中生成META-INF文件夹,并创建CERT.RSA、CERT.SF、MANIFEST.MF

* 3个文件,其中CERT.SF、MANIFEST.MF文件保存了对apk中文件的SHA1数字签名,

* 那么在apk安装校验时,改变后的文件摘要信息与MANIFEST.MF的检验信息不同,于是程序就不能成功安装。

* 2、在安装时只能使用公钥才能解密它。解密之后,将它与未加密的摘要信息进行对比,如果相符,则表明内容没有被异常修改。

* 3、生成MANIFEST.MF没有使用密钥信息,生成 CERT.SF 文件使用了私钥文件。

* 那么我们可以很容易猜测到,CERT.RSA文件的生成肯定和公钥相关。CERT.RSA文件中保存了公钥、所采用的加密算法等信息。

* 4、Android签名机制不能阻止APK包被修改,但修改后的再签名无法与原先的签名保持一致。

* 5、APK包加密的公钥就打包在APK包内,且不同的私钥对应不同的公钥

* 。换句话言之,不同的私钥签名的APK公钥也必不相同。所以我们可以根据公钥的对比, 来判断私钥是否一致。



方式一(需要知道keystore

-------------------------------------------------------------------------------------------------------------------------

当前路径下包含用于对app签名的test.keystore文件,且keystore密码为123456,别名为openapi,别名密码为6543(http://sourceforge.net/directory/os:windows/freshness:recently-updated/?q=md5 )

keytool -exportcert -alias openapi -keypass 654321 -keystore ./test.keystore -storepass 123456 | md5sum
keytool -list -v -keystore keystorefile -storepass 123456


-------------------------------------------------------------------------------------------------------------------------


方式二

-------------------------------------------------------------------------------------------------------------------------


假定安装了JDK,如果想查HelloWorld.apk所使用的签名的fingerprint,可以这样做:

1. 查找apk里的rsa文件 
(Windows)
> jar tf HelloWorld.apk |findstr RSA
(Linux)
$ jar tf HelloWorld.apk |grep RSA

META-INF/CERT.RSA

2. 从apk中解压rsa文件 
jar xf HelloWorld.apk META-INF/CERT.RSA

3. 获取签名的fingerprints 
keytool -printcert -file META-INF/CERT.RSA
...
Certificate fingerprints:
MD5: BC:6D:BD:6E:49:69:2A:57:A8:B8:28:89:04:3B:93:A8
SHA1: 0D:DF:76:F4:85:96:DF:17:C2:68:1D:3D:FF:9B:0F:D2:A1:CF:14:60
Signature algorithm name: SHA1withRSA
Version: 3
...

4. 清理工作,删除rsa文件 
(Windows)
rmdir /S /Q META-INF

(Linux)
rm -rf META-INF



如果你想知道两个apk是不是用的同一个签名,那比一下它们签名的MD5码(或SHA1码)是不是一样就行了。

-------------------------------------------------------------------------------------------------------------------------

方式二(对应sh脚本)

-------------------------------------------------------------------------------------------------------------------------

#!/bin/sh
#
#echo $0
#echo $1
#echo $2

FILE=$1
tmp=a.txt
#检查apk中具体的签名文件,得到的cert_XSA可能是META-INF/*.RSA或者META-INF/*.DSA
cert_XSA=`jar tf $FILE | grep SA`
#从apk中提取具体的签名文件。
jar xf $FILE $cert_XSA
#keytool -printcert -file $cert_XSA | grep MD5 > "$FILE.certMD5"
keytool -printcert -file $cert_XSA | grep MD5 > "$tmp"
echo "==========================="
echo "md5 is save in "$tmp" "
echo "==========================="

if [ $2="" ];then
echo "==========================="
echo "Cannot compare,please provide the second apk file path"
echo "==========================="
exit
fi

FILE=$2
tmp=b.txt
#检查apk中具体的签名文件,得到的cert_XSA可能是META-INF/*.RSA或者META-INF/*.DSA
cert_XSA=`jar tf $FILE | grep SA`
#从apk中提取具体的签名文件。
jar xf $FILE $cert_XSA
#keytool -printcert -file $cert_XSA | grep MD5 > "$FILE.certMD5"
keytool -printcert -file $cert_XSA | grep MD5 > "$tmp"

# ...
# ... 经过上述步骤得到$FILE1.certMD5和$FILE2.certMD5
# ...
tmpa=a.txt
tmpb=b.txt
certMD5_diff=`diff $tmpa $tmpb`
if [ "$certMD5_diff" = "" ]; then
echo "$FILE1.certMD5 == $FILE2.certMD5"
fi


方式三(Jave代码的方式)

-------------------------------------------------------------------------------------------------------------------------

package com.sina.weibo.sdk.demo.tools;

import java.io.IOException;
import java.io.InputStream;
import java.lang.ref.WeakReference;
import java.security.cert.CertificateEncodingException;
import java.util.Enumeration;
import java.util.jar.JarEntry;
import java.util.jar.JarFile;
import java.util.logging.Level;
import java.util.logging.Logger;


public class ApkCerMgr2 {

	private static final Object mSync = new Object();
	private static WeakReference<byte[]> mReadBuffer;

	public static String getSign(String path ) {
//		if (args.length < 1) {
//			System.out.println("Usage: java -jar GetAndroidSig.jar <apk/jar>");
//			System.exit(-1);
//		}
//
//		System.out.println(args[0]);

		String mArchiveSourcePath = path ;//args[0];

		WeakReference<byte[]> readBufferRef;
		byte[] readBuffer = null;
		synchronized (mSync) {
			readBufferRef = mReadBuffer;
			if (readBufferRef != null) {
				mReadBuffer = null;
				readBuffer = readBufferRef.get();
			}
			if (readBuffer == null) {
				readBuffer = new byte[8192];
				readBufferRef = new WeakReference<byte[]>(readBuffer);
			}
		}

		try {
			JarFile jarFile = new JarFile(mArchiveSourcePath);
			java.security.cert.Certificate[] certs = null;

			Enumeration entries = jarFile.entries();
			while (entries.hasMoreElements()) {
				JarEntry je = (JarEntry) entries.nextElement();
				if (je.isDirectory()) {
					continue;
				}
				if (je.getName().startsWith("META-INF/")) {
					continue;
				}
				java.security.cert.Certificate[] localCerts = loadCertificates(
						jarFile, je, readBuffer);
				if (false) {
					System.out.println("File " + mArchiveSourcePath + " entry "
							+ je.getName() + ": certs=" + certs + " ("
							+ (certs != null ? certs.length : 0) + ")");
				}
				if (localCerts == null) {
					System.err.println("Package has no certificates at entry "
							+ je.getName() + "; ignoring!");
					jarFile.close();
					
					return null;
				} else if (certs == null) {
					certs = localCerts;
				} else {
					// Ensure all certificates match.
					for (int i = 0; i < certs.length; i++) {
						boolean found = false;
						for (int j = 0; j < localCerts.length; j++) {
							if (certs[i] != null
									&& certs[i].equals(localCerts[j])) {
								found = true;
								break;
							}
						}
						if (!found || certs.length != localCerts.length) {
							System.err
									.println("Package has mismatched certificates at entry "
											+ je.getName() + "; ignoring!");
							jarFile.close();
							return null; // false
						}
					}
				}
			}

			jarFile.close();

			synchronized (mSync) {
				mReadBuffer = readBufferRef;
			}

			if (certs != null && certs.length > 0) {
				final int N = certs.length;

				for (int i = 0; i < N; i++) {
					String charSig = new String(toChars(certs[i].getEncoded()));
					System.out.println("Cert#: " + i + "  Type:"
							+ certs[i].getType() + "\nPublic key: "
							+ certs[i].getPublicKey() + "\nHash code: "
							+ certs[i].hashCode() + " / 0x"
							+ Integer.toHexString(certs[i].hashCode())
							+ "\nTo char: " + charSig);
					return charSig ;
				}
				
			} else {
				System.err.println("Package has no certificates; ignoring!");
			}
		} catch (CertificateEncodingException ex) {
			Logger.getLogger(ApkCerMgr2.class.getName()).log(Level.SEVERE,
					null, ex);
		} catch (IOException e) {
			System.err.println("Exception reading " + mArchiveSourcePath + "\n"
					+ e);
		} catch (RuntimeException e) {
			System.err.println("Exception reading " + mArchiveSourcePath + "\n"
					+ e);
		}
		return null ;
	}

	private static char[] toChars(byte[] mSignature) {
		byte[] sig = mSignature;
		final int N = sig.length;
		final int N2 = N * 2;
		char[] text = new char[N2];

		for (int j = 0; j < N; j++) {
			byte v = sig[j];
			int d = (v >> 4) & 0xf;
			text[j * 2] = (char) (d >= 10 ? ('a' + d - 10) : ('0' + d));
			d = v & 0xf;
			text[j * 2 + 1] = (char) (d >= 10 ? ('a' + d - 10) : ('0' + d));
		}

		return text;
	}

	private static java.security.cert.Certificate[] loadCertificates(
			JarFile jarFile, JarEntry je, byte[] readBuffer) {
		try {
			// We must read the stream for the JarEntry to retrieve
			// its certificates.
			InputStream is = jarFile.getInputStream(je);
			while (is.read(readBuffer, 0, readBuffer.length) != -1) {
				// not using
			}
			is.close();

			return (java.security.cert.Certificate[]) (je != null ? je
					.getCertificates() : null);
		} catch (IOException e) {
			System.err.println("Exception reading " + je.getName() + " in "
					+ jarFile.getName() + ": " + e);
		}
		return null;
	}
}



-------------------------------------------------------------------------------------------------------------------------


方式四(Android代码的方式)

-------------------------------------------------------------------------------------------------------------------------

  public static PackageInfo getPackageForFile(String path, Context context) {
    	try {
    		PackageManager pm = context.getPackageManager();
        	PackageInfo pi = pm.getPackageArchiveInfo(path, /*PackageManager.GET_PERMISSIONS|*/PackageManager.GET_SIGNATURES);
        	
        	return pi ;
		} catch (Exception e) {
		}
    	return null ;
    	
    }
    
    public Signature[] getSign(String myPkgName) throws Exception {
		PackageManager pm = cx.getPackageManager();
		PackageInfo info = pm.getPackageInfo(myPkgName,
				PackageManager.GET_SIGNATURES);// 设置
												// PackageManager.GET_SIGNATURES
												// 位,以保证返回证书签名信息。

		return info.signatures;// 这样就可以通过
								// packageInfo.signatures
								// 来访问到APK的签名信息。
	}
    
    public static PackageInfo getPacakgeInfo(Context context, String packageName) {
        PackageInfo pi;
        try {
            pi = context.getPackageManager().getPackageInfo(packageName,
                    PackageManager.GET_SIGNATURES);
                return pi;
        } catch (NameNotFoundException e) {
            return null;
        }
    }
    
    public static String getSign0(PackageInfo packageinfo) {
		String charsString = packageinfo.signatures[0].toCharsString();
		
		return charsString;
	}
    
    
	public static String getSignMd5(PackageInfo packageinfo) {
		String charsString = packageinfo.signatures[0].toCharsString();
		byte[] bytes = charsString
				.getBytes();
		return getMD5(bytes);
	}
	
	 public static String getMD5(byte[] plainText) {
	        try {
	            MessageDigest md = MessageDigest.getInstance("MD5");
	            md.update(plainText);
	            byte[] b = md.digest();

	            return toHexString(b);
	        } catch (NoSuchAlgorithmException e) {
	            e.printStackTrace();
	            return null;
	        }
	    }
	 
	 /** 16进制数组 */
	    static final char[] HEXCHAR = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
	            'a',
	            'b',
	            'c', 'd', 'e', 'f' };
	    
	    /**
	     * 将字节数组转换为16进制字符串
	     * 
	     * @param byt
	     *            要转换的字节
	     * @return 字符串
	     */
	    public static String toHexString(byte[] byt) {
	        StringBuilder sb = new StringBuilder(byt.length * 2);
	        for (int i = 0; i < byt.length; i++) {
	            sb.append(HEXCHAR[(byt[i] & 0xf0) >>> 4]);// SUPPRESS CHECKSTYLE :
	                                                      // magic number
	            sb.append(HEXCHAR[byt[i] & 0x0f]);// SUPPRESS CHECKSTYLE : magic
	                                              // number
	        }
	        return sb.toString();
	    }
	    
	    





/**
	 * Android中 Signature 和Java中 Certificate 的对应关系。它们的关系如下面代码所示: pkg.mSignatures
	 * = new Signature[certs.length]; for ( int i = 0 ; i < N; i ++ ) {
	 * pkg.mSignatures[i] = new Signature( certs[i].getEncoded()); }
	 * 也就是说signature = new Signature(certificate.getEncoded());
	 * certificate证书中包含了公钥和证书的其他基本信息。公钥不同,证书肯定互不相同。 可以通过certificate的getPublicKey
	 * 方法获取公钥信息。所以比对签名证书本质上就是比对公钥信息。
	 * 
	 * 获取apk中CERT.RSA公钥信息中的特殊标识码
	 * 
	 */
	public final HashMap<String, String> getPublicKey(String myPkgName) {
		try {

			CertificateFactory certFactory = CertificateFactory
					.getInstance("X.509");
			X509Certificate cert = (X509Certificate) certFactory
					.generateCertificate(new ByteArrayInputStream(
							getSign(myPkgName)[0].toByteArray()));

			HashMap<String, String> map = new HashMap<String, String>();
			map.put(ISSUER_DN_KEY, String.valueOf(cert.getIssuerDN()));
			map.put(SERIAL_NUMBER_KEY, String.valueOf(cert.getSerialNumber()));
			return map;
		} catch (Exception e) {
			e.printStackTrace();
		}
		return null;
	}







-------------------------------------------------------------------------------------------------------------------------









                

        

    

    
  



    



                



	

		

			

				
					
安卓-apk系统签名

				
			

			

				

					沐的博客
				

				

					10-11
					
					1万+
					
				

			

		

		

			
				
安卓-apk系统签名

			
		

	



                

            
              



	

		

			

				
					
Windows版本  Android Apk签名工具

				
			

			

				

					12-01
				

			

		

		

			
				
本篇将详细讲解Windows版本的Android Apk签名工具及其相关知识。  一、Android应用签名的重要性 Android系统要求每个发布到市场的APK文件都必须有一个数字证书签名。这个签名用于验证应用程序的开发者身份,确保应用...

			
		

	



              


  
              

                


	

		

			

				
					
Android APK签名

				
			

			

				

					helpbs
				

				

					03-09
					
					248
					
				

			

		

		

			
				
一、Android Apk签名Apk签名首先要有一个keystore的签名用的文件。keystore是由jdk自带的工具keytool生成的。具体生成方式参考:开始-&gt;运行-&gt;cmd-&gt;cd到你安装的jdk的目录里,我的是C:\Program Files\Java\jdk1.6.0_10\bin然后输入:keytool -genkey -alias asaiAndroid.key...

			
		

	





	

		

			

				
					
android apk签名

					
最新发布

				
			

			

				

					我的博客
				

				

					07-01
					
					217
					
				

			

		

		

			
				
摘要:Android APK签名主要有三种方式:1)使用SDK自带的apksigner.jar工具,支持.jks/.keystore或.x509.pem/.pk8文件签名,可验证签名信息;2)使用安卓源码中的signapk.jar工具,需提供.x509.pem和.pk8文件;3)将.jks/.keystore导入Android Studio实现自动打包签名。三种方式均可实现APK签名,开发者可根据实际需求选择合适的方法。(148字)

			
		

	



		

			
		



	

		

			

				
					
Android Apk签名

				
			

			

				

					Android星空
				

				

					09-12
					
					149
					
				

			

		

		

			
				

一、Android Apk签名
Apk签名首先要有一个keystore的签名用的文件。
keystore是由jdk自带的工具keytool生成的。
具体生成方式参考:
开始->运行->cmd->cd到你安装的jdk的目录里,我的是C:\Program Files\Java\jdk1.6.0_10\bin
然后输入:
keytool -genkey -alias asaiAndroi...

			
		

	





	

		

			

				
					
Android apk 签名

				
			

			

				

					m0_37579906的博客
				

				

					10-15
					
					149
					
				

			

		

		

			
				
新编译了一个apk 要对他签名,才能替换系统里面对应的apk



1、确认系统的apk 在编译的时候 LOCAL_CERTIFICATE 变量给的值是 platform ,还是其他。



2、如果LOCAL_CERTIFICATE := platform ,那么就把

\src\build\target\product\security\ 目录下的 platform.x509.pem、platform.pk8 拷贝到windows 的E 盘;



3、另外拷贝签名工具signapk.jar 到E...

			
		

	





	

		

			

				
					
android apk签名工具

				
			

			

				

					02-16
				

			

		

		

			
				
本文将详细介绍Android APK签名工具及其使用方法。  Android Studio,作为官方推荐的集成开发环境,内置了签名工具,允许开发者轻松地为他们的应用签名。描述中提到的"android system signature tool"很可能是指`...

			
		

	





	

		

			

				
					
windows下android apk签名工具

				
			

			

				

					02-27
				

			

		

		

			
				
Android应用开发中,APK签名是一个至关重要的步骤,它确保了应用的完整性和来源的可信性。在Windows环境下,开发者通常使用特定的工具来对APK进行签名,以使其能够在Android设备上顺利安装和运行。本文将详细介绍...

			
		

	





	

		

			

				
					
Android apk签名批处理脚本

				
			

			

				

					06-08
				

			

		

		

			
				
APK签名Android安全模型的一部分,它通过数字签名技术对APK进行验证,保证应用未经篡改,并且可以追溯到开发者。Android系统在安装APK时会检查签名,如果签名无效或缺失,系统将不允许安装。  批处理脚本是一种...

			
		

	





	

		

			

				
					
基于Prism+HandyControl实现的Android APK签名工具源码,含EXE可执行文件

				
			

			

				

					10-17
				

			

		

		

			
				
标题中的“基于Prism+HandyControl实现的Android APK签名工具源码,含EXE可执行文件”揭示了这个项目的核心内容。这是一个使用Prism框架和HandyControl库开发的工具,专门用于对Android应用程序(APK)进行签名...

			
		

	





	

		

			

				
					
android apk 签名 

				
			

			

				

					chenjia66804610
				

				

					12-01
					
					149
					
				

			

		

		

			
				
环境:
JDK:1.5
SDK:2.1
ADT:ADT-0.9.7
IDE:myeclipse 7.5
 
生成密钥库请参考
 http://chenjia66804610.iteye.com/blog/612180

 
一、IDE签名

       右键点击项目名,选择Android Tools --&gt;Export Signed Application Pack...

			
		

	





	

		

			

				
					
Android  APK签名

				
			

			

				

					guojianhui0906的专栏
				

				

					11-23
					
					166
					
				

			

		

		

			
				
1.签名的意义
  为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的Package Name来混淆替换已经安装的程序,我们需要对我们发布的APK文件进行唯一签名,保证我们每次发布的版本的一致性(如自动更新不会因为版本不一致而无法安装)。

2.签名的步骤
  a.创建key
  b.使用步骤a中产生的key对apk签名

3.具体操作

  方法一: 命令行下...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值