程序博客网 > js date

Android签名知识总结

来源:互联网 发布:js date 编辑:程序博客网 时间:2024/05/22 21:40

1.签名相关文件的简介

这里写图片描述

MANIFEST.MF

程序遍历apk包中的所有文件,对非文件夹及未签名文件的文件,逐个生成SHA1的数字签名信息,再用Base64进行编码,最终将这些(摘要)信息存于该文件中,该文件未涉及秘钥信息的使用。(摘要信息)

CERT.SF

存放MANIFEST.MF通过私钥及加密算法加密后的信息。(安装时可通过公钥解密后再与MANIFEST.MF对比信息一致性)。该文件涉及到签名时私钥的使用。

ERT.RSA

CERT.RSA文件中保存了公钥、所采用的加密算法等信息。(数字证书Certificate)

  • .SF与.RSA文件的命名可修改,但是两者需要保证一致
  • Android签名机制不能阻止APK包被修改,但修改后的再签名无法与原先的签名保持一致。(拥有私钥的情况除外)。
  • APK包加密的公钥就打包在APK包内,且不同的私钥对应不同的公钥。换句话,不同的私钥签名的APK公钥也必不相同。所以我们可以根据公钥的对比,来判断私钥是否一致。

2.数字签名信息及MD5与SHA1简介

  1. 数字签名(signature):在安卓签名过程中,(签名工具)会根据开发者提供的姓名地址及私钥等信息生成一串数字签名(字符串).
  2. MD5 (Message Digest 信息摘要)、SHA1(Secure Hash Algorithm安全哈希算法)为HASH(哈希)算法或者称之为摘要算法(Digest Algorithm),即将无限制长度的字符串转换成固定长度(MD5是16个字符16*8=128bits,SHA1是20个字节=160bits 20*8bits的长度)。得到的是摘要,输入是无限制的字符。(常用MD5来进行加密处理)
  3. RSA文件中的签名信息(例:QQ):
    这里写图片描述
    (这里的MD5、SHA1信息即数字证书信息(certificate),是通过相应算法计算后得出的。未经修改,则这边的信息应该是与开发者签名时所看到的是一致的。因此可以通过MD5或者是SHA1值来比较该apk包是否被恶意篡改)
  4. 补充两句数字证书和数字签名的一点区别:
    • The digital signature(数字签名) for the JAR file that was generated with the signer’s private key
    • The certificate(数字证书) containing the signer’s public key, to be used by anyone wanting to verify the signed JAR file

3.使用指令获取apk包签名信息

  1. jarsigner -verify -verbose -certs your_apk_path.apk
  2. unzip -p suspect.apk META-INF/CERT.RSA | keytool -printcert 或 unzip -p suspect.apk META-INF/*.RSA | keytool -printcert
  3. unzip -p suspect.apk META-INF/CERT.RSA | keytool -printcert | grep MD5 或 unzip -p suspect.apk META-INF/*.RSA | keytool -printcert | grep MD5

4.使用代码 获取apk包签名信息(Signature或者Certificate)

有两种实现方法:  

  1. 可以使用Java自带的API(主要用到的为JarFile,JarEntry,Certificate)进行获取,所以这种
  2. 还有一种方法是使用系统隐藏的API PackageParser,通过反射来使用对应的API.
     (但是由于安卓系统版本过多,并且不同厂商进行的修改很多,依赖反射隐藏API的方法并不能保证兼容性和通用性,因此推荐使用JAVA自带API进行获取):
    代码:
import android.content.pm.Signature ;import java.io.ByteArrayInputStream ;import java.io.File ;import java.io.IOException ;import java.io.InputStream ;import java.security.MessageDigest ;import java.security.NoSuchAlgorithmException ;import java.security.cert.Certificate ;import java.security.cert.CertificateFactory ;import java.security.cert.X509Certificate ;import java.util.ArrayList ;import java.util.List ;import java.util.jar.JarEntry ;import java.util.jar.JarFile ;/*** 获取Signature串对应的MD5值* Created by wiky on 2016/1/21.*/public class SignatureCheck {    public static char [] hexChar = { '0', '1' , '2', '3', '4' , '5', '6', '7' ,            '8' , '9', 'a', 'b' , 'c', 'd', 'e' , 'f'} ;    public static void main (String[] args) {        String path = args[0 ];        File f = new File(path);        if (!f.exists()) {            System.out.println( "文件不存在" );        }        System.out.println( "文件存在,path=" +path);        try {            List<String> signature = getSignaturesFromApk(f);            int size = signature.size() ;            for ( int i = 0 ; i < size; i++) {                System.out.println( "signature = " + signature.get(i));                System.out.println( "signatureMD5:" + getMD5(signature.get(i))) ;            }        } catch (Exception e) {            e.printStackTrace();        }    }//====================================获取签名(signature)信息=======================================    /**     * 从APK中读取签名     * @param file apk文件     * @return signatures列表     * @throws IOException     */    private static List<String> getSignaturesFromApk(File file) throws            IOException {        List<String> signatures = new ArrayList<>();        JarFile jarFile = new JarFile(file);        try {            JarEntry je = jarFile.getJarEntry("AndroidManifest.xml") ;            byte[] readBuffer = new byte[8192 ];            Certificate[] certs = loadCertificates(jarFile , je, readBuffer);            if (certs != null) {                for (Certificate c : certs) {                    String sig = toCharsString(c.getEncoded()) ;                    //这里可以获取更详细的信息                    Signature signature = new Signature(c.getEncoded());                    CertificateFactory certFactory = CertificateFactory.getInstance( "X.509");                    X509Certificate cert = (X509Certificate) certFactory.generateCertificate(new ByteArrayInputStream(signature.toByteArray())) ;                    String pubKey = cert.getPublicKey().toString();                    String signNumber = cert.getSerialNumber().toString();                    System.out.println( "signName:" + cert.getSigAlgName());                    System.out.println( "pubKey:" + pubKey);                    System.out.println( "pubKeyMD5:" + getMD5(pubKey)) ;                    System.out.println( "signNumber:" + signNumber);                    System.out.println( "subjectDN:" + cert.getSubjectDN().toString());                    signatures.add(sig);                }            }        } catch (Exception ex) {            ex.printStackTrace();        }        return signatures;    }    /**     *   * 加载签名     *   * @param jarFile     *   * @param je     *   * @param readBuffer     *   * @return     */    private static Certificate[] loadCertificates(JarFile jarFile , JarEntry je,                                                  byte [] readBuffer) {        try {            InputStream is = jarFile.getInputStream(je);            while (is.read(readBuffer , 0, readBuffer.length) != - 1) {            }            is.close();            return je != null ? je.getCertificates() : null;        } catch (IOException e) {            e.printStackTrace();        }        return null;    }//====================================使用MD5对签名(signature)进行加密=======================================    /**     * 用MD5算法加密字符串     * @param val 待加密的字符串     * @return 加密后的字符串     * @throws NoSuchAlgorithmException     */    public static String getMD5(String val) throws NoSuchAlgorithmException {        MessageDigest md5 = MessageDigest.getInstance("MD5" );//类型可选择"MD5"、"SHA1"、"SHA-256"等        md5.update(val.getBytes()) ;        byte[] m = md5.digest() ;//加密        return toHexString(m) ;    }    /**     *   * 将签名转成转成可见字符串     *   * @param sigBytes     *   * @return     */    private static String toCharsString( byte[] sigBytes) {        final int N = sigBytes.length;        final int N2 = N * 2;        char[] text = new char[N2];        for ( int j = 0 ; j < N; j++) {            byte v = sigBytes[j];            int d = (v >> 4) & 0xf ;            text[j * 2] = (char ) (d >= 10 ? ( 'a' + d - 10 ) : ('0' + d)) ;            d = v & 0xf;            text[j * 2 + 1 ] = (char) (d >= 10 ? ('a' + d - 10) : ( '0' + d));        }        return new String(text);    }    /**     * 转换为十六进制字符串形式     */    public static String toHexString( byte[] b) {        StringBuilder sb = new StringBuilder(b.length * 2);        for ( int i = 0 ; i < b.length ; i++) {            sb.append(hexChar[(b[i] & 0xf0) >>> 4 ]);            sb.append( hexChar[b[i] & 0x0f ]);        }        return sb.toString();    }}

权限:

<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" />

5.使用情景

某些时候需要获取某个特定的apk(已安装或者未安装)的签名信息,如程序自检测,可信赖的第三方检测(应用市场),系统限定安装,判断是否为山寨软件等

0 0
js date js date
原创粉丝点击
热门IT博客
go python so文件go python so文件
c语言的函数和数学函数c语言的函数和数学函数
时间煮雨 抄袭 知乎
堤真一 知乎
网络歌曲待我长发及腰
欣荣泉视频监控软件
js中多行注释快捷键
淘宝上传食品步骤
矩阵论 清华大学
网络大电影如何申报
淘宝 手机壳 寄到海外
linux下yum下载rpm包
java中集合的由来
桥梁工程施工测量软件
unity3d性能
java学生管理系统教程
软件优化 网站 去广告
八匹马网络加速器官网
在网络上遇到诈骗
淘宝刷单处罚
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 潜望镜怎么做 如何做潜望镜 潜望镜的做法 升起潜望镜 制作潜望镜 怎么做潜望镜 潜望镜的原理 怎样做潜望镜 制作潜望镜的步骤 简易潜望镜 潜望镜成像 潜望镜的作用 制作潜望镜的方法 如何制作潜望镜 科技小制作潜望镜 潜望镜成像原理 潜望镜的工作原理 潜望镜原理图 潜望镜的制作过程 小学五年级潜望镜的制作图解 潜望镜的制作方法图解 潜望镜的原理是什么 潜望镜利用了光的什么原理 简易潜望镜的制作方法 潜水摩托艇 潜水钟 潜水资格证 潜水钻 潜水料 潜水侠 潜水员 潜水员简笔画 潜水员被鲸鱼吞入 潜水员身穿潜水服 潜水员招聘 潜水员图片 工程潜水员 万州公交车打捞潜水员回忆 潜水价格 什么是潜水 潜水啊潜水多年

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里