android程序中证书签名校验的方法 - 阿弥陀佛 - ITeye博客

`

android_zhang

浏览: 532514 次
性别:
来自: 北京

最近访客更多访客>>

ofbiz

lhy_0621

u011171464

水煮青蛙

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

tangyunliang：大哥你太历害了谢谢
Android基于XMPP Smack Openfire开发IM【四】初步实现两个客户端通信
u013015029： LZ,请问下，在// 添加消息到聊天窗口，这里获取Ed ...
Android基于XMPP Smack Openfire开发IM【四】初步实现两个客户端通信
endual：怎么保持会话，我搞不懂啊
Android基于XMPP Smack Openfire开发IM【一】登录openfire服务器
donala_zq：显示：[2013-11-30 11:50:36 - Andro ...
android-----------新浪微博
donala_zq：哥，运行不了啊
android-----------新浪微博

android程序中证书签名校验的方法

博客分类：

android

阅读更多

android程序中证书签名校验的方法一

2013-02-26 09:56:22| 分类： android逆向技巧 |举报 |字号订阅
(1)、将证书进行base64编码，并将编码后的字符串保存在程序中；
(2)、将证书签名（MD5或SHA1值）进行对称算法加密（比如：DES），然后将加密后的结果和对称算法密钥放在一起，再使用证书的private key 对其加密，将加密后的结果保存在一个xxx.conf文件中；
(3)、客户端启动时，通过解码(1)中的字符串得到证书的公钥，然后使用公钥解码xxx.conf文件，得到对称算法的key；然后使用key去解码被加密的签名字符串；
(4)、客户端通过运行时环境，获取到安装包的证书签名，并与配置文件中的比较，相等则为合法签名，否则安装包已经使用了其它非法的证书进行了签名。

注意：
复杂一些程序会在JAVA层和SO库中同时进行签名验证，并且在SO中多个关键函数中进行签名认证。要想正真过掉这些签名检测，必须将所有这些检测点都找出来。

查看图片附件

分享到：

Android 获取网络时间

2014-04-28 17:58
浏览 2003
评论(0)
分类:移动开发
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Android签名证书文件的解析和签名校验的加强: ### Android签名证书文件的解析与签名校验加强 #### 一、Android签名机制概述 Android平台为了确保应用的安全性和来源的可信度，采用了一套严格的签名机制。这一机制确保了只有经过签名的应用程序（APK）才能够在...

android ssl证书验证: 在Android平台上，SSL（Secure Sockets Layer）证书验证是一个关键的安全环节，用于保护应用程序与服务器之间的通信不被窃听或篡改。SSL证书是身份验证的一种方式，它确保了用户与服务器之间的连接是安全的，数据...

去APK签名校验工具: APK签名校验工具是一种用于验证Android应用程序（APK）签名完整性和安全性的软件工具。在Android系统中，每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程，确保开发者身份的可追溯性，同时...

android获取应用32位签名: 在Android开发中，应用签名是确保应用程序完整性和安全性的关键要素。每个APK在发布时都需要一个签名，以便系统能够验证其来源并确保其未经篡改。本文将深入探讨如何获取Android应用的32位签名，以及这个过程的重要...

android apk sha256哈希值签名验证示例: APK文件是Android应用程序的打包格式，它包含了所有运行应用所需的代码、资源和配置文件。为了确保APK文件未被篡改或来自可信源，开发者通常会对其进行签名并验证其SHA256哈希值。SHA256是一种广泛使用的哈希函数，...

Android Framwork签名文件: 在Android操作系统中，框架层（Framework）是系统的核心部分，它包含了各种系统服务、库以及API，使得开发者能够构建应用程序。对于系统安全性和完整性来说，Android Framework的签名文件至关重要。这些签名文件确保...

Android APK 系统签名工具（signapk.jar）: 总的来说，Android APK 系统签名工具（signapk.jar）是一个用于APK安全发布的实用工具，它通过证书签名确保应用的完整性和安全性。通过了解并正确使用这个工具，开发者可以有效地管理和保护他们的Android应用程序。

Android-安卓app运行秘钥生成和校验: 例如，当应用需要验证APK的签名时，Android系统会使用APK中的证书公钥进行验证。开发者也可以在应用内部实现这样的验证逻辑： ```java Signature signature = Signature.getInstance("SHA256withRSA"); signature....

android MD5签名生成器: 在Android中，MD5签名主要应用于APK的校验，开发者可以通过对比APK安装前后的MD5值来确认文件是否在传输过程中被修改。描述中提到的"查看签名后的app的md5码，直接安装，填写包名即可"，这表明该工具操作简便，只...

android 关于利用签名的SHA1进行安全校验的方法之一(推荐): 签名机制是Android系统用来验证应用程序完整性和来源的一种手段。本文主要探讨如何利用SHA1哈希算法进行安全校验，特别是在与第三方服务如百度地图API的集成中。 SHA1（Secure Hash Algorithm 1）是一种广泛使用的...

单向校验证书绕过 justTrustMePlush-release.zip: 在IT安全领域，尤其是移动应用的安全分析中，"单向校验证书绕过"是一个重要的概念，这通常涉及到Android应用程序的签名验证。标题中的“justTrustMePlush-release.zip”可能是一个工具包，用于帮助开发者或安全研究...

apk安全性校验: 在APK安全校验中，我们可以通过读取keystore文件来获取签名证书的SHA1值。这个值是独一无二的，如果APK被二次签名或者证书被替换，SHA1值就会改变，从而暴露可能的安全问题。接下来，我们关注APK的完整性校验。在...

Android okhttp3.0忽略https证书的方法: 然而，在某些场景下，比如测试环境或自签名证书的服务器，可能需要忽略HTTPS证书的验证，以便应用程序能够顺利连接。本篇文章主要讲解如何在使用OkHttp 3.0时忽略HTTPS证书。首先，我们需要了解HTTPS和证书的基本...

SignApkV2SignApkV2 签名工具rom签名工具 .zip: 签名校验的过程主要包括以下步骤： 1. **生成密钥对**：开发者首先需要创建一个密钥对，包括一个私钥和对应的公钥。私钥由开发者保管，不对外公开，而公钥则包含在APK的证书中。 2. **构建APK**：完成应用的开发和...

应用签名、包名: 在Android系统中，应用签名是一个用于验证应用程序身份的过程，它通过一个数字证书来实现。这个证书包含了开发者的信息，如私钥，它用于对应用的APK文件进行加密签名。签名的主要目的是确保应用在分发过程中未被篡改...

Gen_Signature_Android.zip: 在Android开发中，APK签名是一个至关重要的环节，它确保了应用的安全性和完整性。当我们谈论“获取apk签名MD5”时，我们实际上是指计算APK文件的数字签名的MD5哈希值，这个值用于验证应用程序的身份和防止篡改。在本...

Android FakeID任意代码注入执行漏洞简析.pdf: 总之，Android FakeID漏洞是由于Android系统在APK签名和证书链校验过程中的缺陷造成的。攻击者可以通过一系列复杂的过程利用这个漏洞，对用户设备和数据安全构成严重威胁。修复这一漏洞对于保护Android平台的安全至...

签名软件刷机必备: 在Android平台上，每个应用程序都必须经过数字签名，这相当于为应用添加了一个电子证书。这个证书包含了开发者的信息和一个私钥，用于验证应用的来源和完整性。当用户尝试安装应用时，系统会使用应用中的公钥对APK...

签名信息获取工具源码: 在Android中，SHA1指纹是官方推荐的签名证书指纹类型，用于区分不同应用的签名。通过SHA1，可以确保应用的唯一性和不可抵赖性。 3. **别名**：在使用Java密钥库（KeyStore）进行签名时，每个密钥都有一个别名，它是...

APK签名查看工具V1.0: 通过运行这个工具，用户可以获取到关于APK的签名证书、证书指纹、签名校验状态等详细信息。 6. **说明.txt**：这个文件可能包含工具的使用指南，解释如何操作LookApkSign.exe来查看APK的签名，包括启动程序、加载...

Global site tag (gtag.js) - Google Analytics