文档章节

Android5.0以上APP签名校验

Only丶One
 Only丶One
发布于 2016/05/16 09:40
字数 501
阅读 68
收藏 3

工作需要需要对App进行签名校验,项目基于5.1开发。

流程是提取一个现有app提取签名作为验证码,对未安装的应用获取签名进行对比校验。

提取已安装应用签名

 public static String getSingInfo(String pkgName, Context c) {
        try {
            PackageInfo packageInfo = c.getPackageManager().getPackageInfo(pkgName, PackageManager.GET_SIGNATURES);
            Signature[] signs = packageInfo.signatures;
            Signature sign = signs[0];


            return sign.toCharsString();
//          parseSignature(sign.toByteArray());
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

提取未安装应用签名,其中注释掉的是5.0以前的方法

 public static String showUninstallAPKSignatures(String apkPath) {
        String PATH_PackageParser = "android.content.pm.PackageParser";
        try {
//        // apk包的文件路径
//        // 这是一个Package 解释器, 是隐藏的
//        // 构造函数的参数只有一个, apk文件的路径
//        // PackageParser packageParser = new PackageParser(apkPath);
//        Class pkgParserCls = Class.forName(PATH_PackageParser);
//        Class[] typeArgs = new Class[1];
//        typeArgs[0] = String.class;
//        Constructor pkgParserCt = pkgParserCls.getConstructor(typeArgs);
//        Object[] valueArgs = new Object[1];
//        valueArgs[0] = apkPath;
//        Object pkgParser = pkgParserCt.newInstance(valueArgs);
//        Log.i(TAG, "pkgParser:" + pkgParser.toString());
//        // 这个是与显示有关的, 里面涉及到一些像素显示等等, 我们使用默认的情况
//        DisplayMetrics metrics = new DisplayMetrics();
//        metrics.setToDefaults();
//        // PackageParser.Package mPkgInfo = packageParser.parsePackage(new
//        // File(apkPath), apkPath,
//        // metrics, 0);
//        typeArgs = new Class[4];
//        typeArgs[0] = File.class;
//        typeArgs[1] = String.class;
//        typeArgs[2] = DisplayMetrics.class;
//        typeArgs[3] = Integer.TYPE;
//        Method pkgParser_parsePackageMtd = pkgParserCls.getDeclaredMethod(
//                "parsePackage", typeArgs);
//        valueArgs = new Object[4];
//        valueArgs[0] = new File(apkPath);
//        valueArgs[1] = apkPath;
//        valueArgs[2] = metrics;
//        valueArgs[3] = PackageManager.GET_SIGNATURES;

            //以上方法在Android L以前可以用

            Object pkgParser;
            Class pkgParserCls = Class.forName(PATH_PackageParser);
            Constructor<?> pkgParserCt;
            Class<?>[] typeArgs = {String.class};
            Object[] valueArgs = {apkPath};
            Method pkgParser_parsePackageMtd;
            Object pkgParserPkg;
            if (Build.VERSION.SDK_INT >= 21) {
                //noinspection NullArgumentToVariableArgMethod
                Class[] cNull = null;
                Object[] oNull = null;
                pkgParserCt = pkgParserCls.getConstructor(cNull);
                //noinspection NullArgumentToVariableArgMethod
                pkgParser = pkgParserCt.newInstance(oNull);
                typeArgs = new Class[2];
                typeArgs[0] = File.class;
                typeArgs[1] = Integer.TYPE;
                pkgParser_parsePackageMtd = pkgParserCls.getDeclaredMethod("parsePackage", typeArgs);

                valueArgs = new Object[2];
                valueArgs[0] = new File(apkPath);
                valueArgs[1] = 0;

                pkgParserPkg = pkgParser_parsePackageMtd.invoke(pkgParser, valueArgs);
            } else {
                pkgParserCt = pkgParserCls.getConstructor(typeArgs);
                pkgParser = pkgParserCt.newInstance(valueArgs);

                typeArgs = new Class<?>[]{File.class, String.class, DisplayMetrics.class, int.class};
                pkgParser_parsePackageMtd = pkgParserCls.getDeclaredMethod("parsePackage", typeArgs);

                DisplayMetrics metrics = new DisplayMetrics();
                metrics.setToDefaults();

                valueArgs = new Object[4];
                valueArgs[0] = new File(apkPath);
                valueArgs[1] = apkPath;
                valueArgs[2] = metrics;
                valueArgs[3] = 0;

                pkgParserPkg = pkgParser_parsePackageMtd.invoke(pkgParser, valueArgs);
            }
//        Object pkgParserPkg = pkgParser_parsePackageMtd.invoke(pkgParser,
//                valueArgs);

            typeArgs = new Class[2];
            typeArgs[0] = pkgParserPkg.getClass();
            typeArgs[1] = Integer.TYPE;
            Method pkgParser_collectCertificatesMtd = pkgParserCls
                    .getDeclaredMethod("collectCertificates", typeArgs);
            valueArgs = new Object[2];
            valueArgs[0] = pkgParserPkg;
            valueArgs[1] = PackageManager.GET_SIGNATURES;
            pkgParser_collectCertificatesMtd.invoke(pkgParser, valueArgs);
            // 应用程序信息包, 这个公开的, 不过有些函数, 变量没公开
            Field packageInfoFld = pkgParserPkg.getClass().getDeclaredField(
                    "mSignatures");
            Signature[] info = (Signature[]) packageInfoFld.get(pkgParserPkg);

            Log.i(TAG, info[0].toCharsString());
            return info[0].toCharsString();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

 

© 著作权归作者所有

共有 人打赏支持
Only丶One
粉丝 1
博文 15
码字总数 5616
作品 0
济南
程序员
小小的分享,关于打车apk的安全分析报告!

最近发现打车软件的apk非常的火,并听说他们进行了非常严密的防护,防止用户进行二次打包。今天我们来分析一下他的安全性到底如何(以司机版为例)。 经过严密的分析发现:司机版主要的防护在...

科技创造
2014/08/30
0
6
独家分析:安卓“Janus”漏洞的产生原理及利用过程

近日,Google在12月发布的安卓系统安全公告中披露了一个名为“Janus”安卓漏洞(漏洞编号:CVE-2017-13156)。该漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制,进而直接对App...

顶象技术
2017/12/11
0
0
校验数字签名防止apk二次打包

Android系统的开放性和免费性等特征让开发者和用户趋之若鹜,用户也渐渐习惯了Android应用的这种免费午餐,但在免费的背后却有着巨大的安全阴影。 “Android APP二次打包”则是盗版正规Andro...

科技创造
2015/03/23
2.5K
2
“核弹级”Android漏洞Janus,黑客可以任意篡改App

美国时间12月9日,Google披露了一个名为“Janus”安卓漏洞。该漏洞可以让攻击者绕过安卓签名机制,从而让攻击者对App进行篡改,安卓5.0到8.0等个版本系统均受影响。 顶象安全专家提醒广大安卓...

顶象技术
2017/12/11
0
0
Android App安全防范措施的小结

本文只是对最近工作的一些小结,方便以后的查询。 关闭日志的打印 关闭打印的日志,防止日志中的调试信息被看到。如果在网络框架中使用了日志,那就更加需要关闭了。 代码混淆 代码混淆是最基...

fengzhizi715
05/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

70.shell的函数 数组 告警系统需求分析

20.16/20.17 shell中的函数 20.18 shell中的数组 20.19 告警系统需求分析 20.16/20.17 shell中的函数: ~1. 函数就是把一段代码整理到了一个小单元中,并给这个小单元起一个名字,当用到这段...

王鑫linux
今天
2
0
分布式框架spring-session实现session一致性使用问题

前言:项目中使用到spring-session来缓存用户信息,保证服务之间session一致性,但是获取session信息为什么不能再服务层获取? 一、spring-session实现session一致性方式 用户每一次请求都会...

WALK_MAN
今天
6
0
C++ yield()与sleep_for()

C++11 标准库提供了yield()和sleep_for()两个方法。 (1)std::this_thread::yield(): 线程调用该方法时,主动让出CPU,并且不参与CPU的本次调度,从而让其他线程有机会运行。在后续的调度周...

yepanl
今天
4
0
Java并发编程实战(chapter_3)(线程池ThreadPoolExecutor源码分析)

这个系列一直没再写,很多原因,中间经历了换工作,熟悉项目,熟悉新团队等等一系列的事情。并发课题对于Java来说是一个又重要又难的一大块,除非气定神闲、精力满满,否则我本身是不敢随便写...

心中的理想乡
今天
42
0
shell学习之获取用户的输入命令read

在运行脚本的时候,命令行参数是可以传入参数,还有就是在脚本运行过程中需要用户输入参数,比如你想要在脚本运行时问个问题,并等待运行脚本的人来回答。bash shell为此提 供了read命令。 ...

woshixin
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部