`

android程序中证书签名校验的方法

阅读更多

android程序中证书签名校验的方法一 

2013-02-26 09:56:22|  分类: android逆向技巧 |举报 |字号 订阅
(1)、将证书进行base64编码,并将编码后的字符串保存在程序中;
(2)、将证书签名(MD5或SHA1值)进行对称算法加密(比如:DES),然后将加密后的结果和对称算法密钥放在一起,再使用证书的private key 对其加密,将加密后的结果保存在一个xxx.conf文件中;
(3)、客户端启动时,通过解码(1)中的字符串得到证书的公钥,然后使用公钥解码xxx.conf文件,得到对称算法的key;然后使用key去解码被加密的签名字符串;
(4)、客户端通过运行时环境,获取到安装包的证书签名,并与配置文件中的比较,相等则为合法签名,否则安装包已经使用了其它非法的证书进行了签名。

注意:
复杂一些程序会在JAVA层和SO库中同时进行签名验证,并且在SO中多个关键函数中进行签名认证。要想正真过掉这些签名检测,必须将所有这些检测点都找出来。
  • 大小: 430.1 KB
分享到:
评论

相关推荐

    Android签名证书文件的解析和签名校验的加强

    ### Android签名证书文件的解析与签名校验加强 #### 一、Android签名机制概述 Android平台为了确保应用的安全性和来源的可信度,采用了一套严格的签名机制。这一机制确保了只有经过签名的应用程序(APK)才能够在...

    android ssl证书验证

    在Android平台上,SSL(Secure Sockets Layer)证书验证是一个关键的安全环节,用于保护应用程序与服务器之间的通信不被窃听或篡改。SSL证书是身份验证的一种方式,它确保了用户与服务器之间的连接是安全的,数据...

    去APK签名校验工具

    APK签名校验工具是一种用于验证Android应用程序(APK)签名完整性和安全性的软件工具。在Android系统中,每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程,确保开发者身份的可追溯性,同时...

    android获取应用32位签名

    在Android开发中,应用签名是确保应用程序完整性和安全性的关键要素。每个APK在发布时都需要一个签名,以便系统能够验证其来源并确保其未经篡改。本文将深入探讨如何获取Android应用的32位签名,以及这个过程的重要...

    android apk sha256哈希值签名验证示例

    APK文件是Android应用程序的打包格式,它包含了所有运行应用所需的代码、资源和配置文件。为了确保APK文件未被篡改或来自可信源,开发者通常会对其进行签名并验证其SHA256哈希值。SHA256是一种广泛使用的哈希函数,...

    Android Framwork签名文件

    在Android操作系统中,框架层(Framework)是系统的核心部分,它包含了各种系统服务、库以及API,使得开发者能够构建应用程序。对于系统安全性和完整性来说,Android Framework的签名文件至关重要。这些签名文件确保...

    Android APK 系统签名工具(signapk.jar)

    总的来说,Android APK 系统签名工具(signapk.jar)是一个用于APK安全发布的实用工具,它通过证书签名确保应用的完整性和安全性。通过了解并正确使用这个工具,开发者可以有效地管理和保护他们的Android应用程序。

    Android-安卓app运行秘钥生成和校验

    例如,当应用需要验证APK的签名时,Android系统会使用APK中的证书公钥进行验证。开发者也可以在应用内部实现这样的验证逻辑: ```java Signature signature = Signature.getInstance("SHA256withRSA"); signature....

    android MD5签名生成器

    在Android中,MD5签名主要应用于APK的校验,开发者可以通过对比APK安装前后的MD5值来确认文件是否在传输过程中被修改。 描述中提到的"查看签名后的app的md5码,直接安装,填写包名即可",这表明该工具操作简便,只...

    android 关于利用签名的SHA1进行安全校验的方法之一(推荐)

    签名机制是Android系统用来验证应用程序完整性和来源的一种手段。本文主要探讨如何利用SHA1哈希算法进行安全校验,特别是在与第三方服务如百度地图API的集成中。 SHA1(Secure Hash Algorithm 1)是一种广泛使用的...

    单向校验证书绕过 justTrustMePlush-release.zip

    在IT安全领域,尤其是移动应用的安全分析中,"单向校验证书绕过"是一个重要的概念,这通常涉及到Android应用程序的签名验证。标题中的“justTrustMePlush-release.zip”可能是一个工具包,用于帮助开发者或安全研究...

    apk安全性校验

    在APK安全校验中,我们可以通过读取keystore文件来获取签名证书的SHA1值。这个值是独一无二的,如果APK被二次签名或者证书被替换,SHA1值就会改变,从而暴露可能的安全问题。 接下来,我们关注APK的完整性校验。在...

    Android okhttp3.0忽略https证书的方法

    然而,在某些场景下,比如测试环境或自签名证书的服务器,可能需要忽略HTTPS证书的验证,以便应用程序能够顺利连接。本篇文章主要讲解如何在使用OkHttp 3.0时忽略HTTPS证书。 首先,我们需要了解HTTPS和证书的基本...

    SignApkV2SignApkV2 签名工具rom签名工具 .zip

    签名校验的过程主要包括以下步骤: 1. **生成密钥对**:开发者首先需要创建一个密钥对,包括一个私钥和对应的公钥。私钥由开发者保管,不对外公开,而公钥则包含在APK的证书中。 2. **构建APK**:完成应用的开发和...

    应用签名、包名

    在Android系统中,应用签名是一个用于验证应用程序身份的过程,它通过一个数字证书来实现。这个证书包含了开发者的信息,如私钥,它用于对应用的APK文件进行加密签名。签名的主要目的是确保应用在分发过程中未被篡改...

    Gen_Signature_Android.zip

    在Android开发中,APK签名是一个至关重要的环节,它确保了应用的安全性和完整性。当我们谈论“获取apk签名MD5”时,我们实际上是指计算APK文件的数字签名的MD5哈希值,这个值用于验证应用程序的身份和防止篡改。在本...

    Android FakeID任意代码注入执行漏洞简析.pdf

    总之,Android FakeID漏洞是由于Android系统在APK签名和证书链校验过程中的缺陷造成的。攻击者可以通过一系列复杂的过程利用这个漏洞,对用户设备和数据安全构成严重威胁。修复这一漏洞对于保护Android平台的安全至...

    签名软件 刷机必备

    在Android平台上,每个应用程序都必须经过数字签名,这相当于为应用添加了一个电子证书。这个证书包含了开发者的信息和一个私钥,用于验证应用的来源和完整性。当用户尝试安装应用时,系统会使用应用中的公钥对APK...

    签名信息获取工具源码

    在Android中,SHA1指纹是官方推荐的签名证书指纹类型,用于区分不同应用的签名。通过SHA1,可以确保应用的唯一性和不可抵赖性。 3. **别名**:在使用Java密钥库(KeyStore)进行签名时,每个密钥都有一个别名,它是...

    APK签名查看工具V1.0

    通过运行这个工具,用户可以获取到关于APK的签名证书、证书指纹、签名校验状态等详细信息。 6. **说明.txt**:这个文件可能包含工具的使用指南,解释如何操作LookApkSign.exe来查看APK的签名,包括启动程序、加载...

Global site tag (gtag.js) - Google Analytics