Apk签名

最新推荐文章于 2025-07-12 06:54:10 发布
最新推荐文章于 2025-07-12 06:54:10 发布
阅读量628 收藏
点赞数

1.jarsigner : 签名和验证jar文件 , ( https://docs.oracle.com/javase/9/tools/jarsigner.htm#JSWOR-GUID-925E7A1B-B3F3-44D2-8B49-0B3FA2C54864 ) , 使用keystore文件。
signapk.jar : 对android apk 签名 , 使用pk8,x509.pem文件。

Keytool 、 jarsigner对apk签名 :
keytool 是java 用于管理密钥和证书的工具,创建并管理密钥,创建并管理证书,作为CA为证书授权,导入导出证书。

2.签名:
a.对APK包中的每个文件做一次运算(Hash+Base64编码),将结果保存到META-INF/MANIFEST.MF文件中。
b.对MANIFEST.MF整个文件做一次运算(Hash+Base64编码),将结果保存到META-INF/CERT.SF文件的头属性中,再对MANIFEST.MF文件中的各个属性块做同样的运算(Hash+Base64编码),存放到CERT.SF的属性块中。
c.开发者用自己的私钥对CERT.SF进行签名,并将签名信息和包含公钥信息的数字证书一同保存到META-INF/CERT.RSA文件中。
d.CERT.RSA是一个PKCS7 格式的文件。

3.验签源码位置:
frameworks/base/services/core/java/com/android/server/pm/PackageManagerService.java
frameworks/base/core/java/android/content/pm/PackageParser.java
libcore/luni/src/main/java/java/util/jar/StrictJarFile.java
libcore/luni/src/main/java/java/util/jar/JarVerifier.java
libcore/luni/src/main/java/java/util/jar/JarFile.java
libcore/luni/src/main/java/org/apache/harmony/security/utils/JarUtils.java

4.验签:
a.所有的验签动作都是在JarVerifier这个类里面完成的
b.在JarVerifier.verifyCertificate()方法中完成了以下两步:
使用CERT.RSA校验CERT.SF,看CERT.SF是否被篡改;
使用CERT.SF校验MANIFEST.MF,看MANIFEST.MF是否被篡改;
c.在JarVerifier.VerifierEntry.verify()方法中完成最后一步:
使用MANIFEST.MF来校验所有文件,看有没有文件被篡改,或者有没有文件被删
除,又或者有没有添加新的文件
d.但是反编译改动apk之后可以用自己的私钥重新签名,新的公钥和新的数字证书,但是只有相同签名和相同包名的apk才可以覆盖安装以前的程序并保留用户信息,要改动后自己签名的话得卸载之前的app才能安装,可能有“非官方应用”等其它警告

5.提取证书:
openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text

import sun.security.pkcs.PKCS7;
import java.io.FileInputStream;
import java.io.IOException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

public class Test {
public static void main(String[] args) throws CertificateException, IOException {
FileInputStream fis = new FileInputStream("/Users/***/Desktop/CERT.RSA");
PKCS7 pkcs7 = new PKCS7(fis);
X509Certificate publicKey = pkcs7.getCertificates()[0];
System.out.println(“issuer1:” + publicKey.getIssuerDN());
System.out.println(“subject2:” + publicKey.getSubjectDN());
System.out.println(publicKey.getPublicKey());
}
}

X509Certificate certificate = getCertificate();
String pubKey = certificate.getPublicKey().toString();
String signNumber = certificate.getSerialNumber().toString();
String subjectDN = certificate.getSubjectDN().toString();

6.获取apk指纹
keytool -list -printcert -jarfile app.apk
查看keystore的指纹
apk的签名指纹跟keystore中的指纹一致表明该包是用keystore来签名的
keytool -list -keystore android_sign.jks
keytool -printcert -file XXX.RSA

7.a、 Android签名机制其实是对APK包完整性和发布机构唯一性的一种校验机制。
b、Android签名机制不能阻止APK包被修改,但修改后的再签名无法与原先的签名保持一致。(拥有私钥的情况除外)。
c、APK包加密的公钥就打包在APK包内,且不同的私钥对应不同的公钥。换句话言之,不同的私钥签名的APK公钥也必不相同。所以我们可以根据公钥的对比,来判断私钥是否一致。

折跃
关注
apk签名工具
04-11
对编译好的apk 文件签名,执行命令java -jar signapk.jar testkey.x509.pem testkey.pk8 未签名.apk 签名.apk
Android学习系列(1)--为App签名(为apk签名)
dianan1505的博客
04-09 1166
写博客是一种快乐,前提是你有所写,与人分享,是另一种快乐,前提是你有舞台展示,博客园就是这样的舞台。这篇文章是android开发人员的必备知识,是我特别为大家整理和总结的,不求完美,但是有用。 1.签名的意义  为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的Package Name来混淆替换已经安装的程序,我们需要对我们发布的APK文件进行唯一签名,保证我们每次发...
APK 签名详解
最新发布
shinecjj的博客
07-12 441
APK 签名是 Android 应用打包过程中的关键步骤,它确保了应用的完整性和来源真实性。
Android Apk签名
Android星空
09-12 149
一、Android Apk签名 Apk签名首先要有一个keystore的签名用的文件。 keystore是由jdk自带的工具keytool生成的。 具体生成方式参考: 开始->运行->cmd->cd到你安装的jdk的目录里,我的是C:\Program Files\Java\jdk1.6.0_10\bin 然后输入: keytool -genkey -alias asaiAndroi...
apk签名
AaronDroid的博客
08-29 398
Android签名相关
Windows版本 Android Apk签名工具
12-01
本篇将详细讲解Windows版本的Android Apk签名工具及其相关知识。 一、Android应用签名的重要性 Android系统要求每个发布到市场的APK文件都必须有一个数字证书签名。这个签名用于验证应用程序的开发者身份,确保应用...
android10 apk签名文件
04-10
在Android系统中,APK签名是一个至关重要的过程,它确保了应用的完整性和开发者身份的验证。在Android 10中,这个过程没有本质的变化,但随着系统的更新,签名文件的作用和安全要求更加严格。本篇文章将深入探讨...
查看APK签名信息和版本号工具
08-11
在这个场景下,"查看APK签名信息和版本号工具"显然是一个用于帮助开发者获取这些关键信息的实用工具,而"aapt.exe"则是实现这一功能的关键组件。 **aapt.exe**是Android Asset Packaging Tool的缩写,它是Android ...
Android apk签名批处理脚本
06-08
APK签名是Android安全模型的一部分,它通过数字签名技术对APK进行验证,保证应用未经篡改,并且可以追溯到开发者。Android系统在安装APK时会检查签名,如果签名无效或缺失,系统将不允许安装。 批处理脚本是一种...
apk签名工具apktool
12-04
apk签名工具apktool,使用APKSign.exe这个来进行apk签名
APK万能签名工具
07-27
apk文件万能签名工具:在网上下载的APK文件,修改资源后往往重新安装会报“签名错误,无法安装”,此工具可帮你解决任何签名问题。
Apk签名工具(三种工具)
05-23
Apk签名工具(三种工具)AndroidResEdit 360签名工具 爱加密签名工具
APK签名工具|
02-18
此工具将使得在手机上汉化修改软件变成可能;您可以免费下载安卓手机ZipSigner 2。 ... 安卓上的apk签名工具。
Android APK签名工具
hwx865的专栏
02-25 4058
概述 当使用 apktool 回编译生成 APK 后,由于没有对 APK 签名,安装无法成功。 因此,需要对 APK 文件进行重新签名方可安装。 工具介绍 jarsigner是JDK提供的针对JAR包签名的通用工具,位于如下位置: jdk/bin/jarsigner.exe apksigner是Google官方提供的针对Android APK签名及验证的专用工具,位于如下位置: ...
apk自动签名工具
SOLO的博客
05-17 4808
因为360加固,自动签名需要开通VIP,每次加固完了都得手动签名。所以写了个工具。实现通过配置文件配置,拖拽APK自动签名。支持:V1 V2 V3 V4 签名。通过分析清单文件,自动选择版本。
apk 签名
chenwen_201116040110的专栏
10-29 527
由于某些限制,会有这样的需求:拿不到apk源码的情况下要对其中的一些资源进行修改,在Android签名的限制下,直接解压修改会导致签名不一致,这样的apk文件在手机上是无法被安装的,这样就只能对apk进行重新签名来生成新的apk包。从另外一个角度上来说,这也是从系统的级别来保证安全:一个被特定私钥签名apk是无法被篡改且无法抵赖的。  要对apk进行重新签名,首先要生成自己的公私钥对,然后
简化APK签名流程:APK签名工具的便捷应用
标题中提到的“APK签名工具”是一个用于对安卓应用程序(APK文件)进行数字签名的软件工具。APK是Android Package的缩写,是安卓应用的安装包文件格式。在安卓开发中,发布应用程序到应用商店或进行安装之前,必须对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值