首要咱们在as中双击apk,出现apk的剖析界面,然后选中保存签名相关文件的文件夹:
一:签名文件:
1、MANIFEST.MF:保存了一切其他文件的SHA-1并base64编码后的值
2、CERT.SF:
SHA1-Digest-Manifest的值,这个值便是MANIFEST.MF文件的SHA-1并base64编码后的值。
后面几项的值是对MANIFEST.MF文件中的每项再次SHA1并base64编码后的值。
将上一个文件的某一项取出,比方:
Name:assets/BookCategoryConfig
SHA1-Digest:u5YLUiucukHRhO/xAqnzbnCb6cU=
加两个rn,保存文件,再SHA1并base64编码便可得到。
3、CERT.RSA:
包含了公钥信息和发布组织信息。它把之前生成的CERT.SF文件,用私钥计算出签名,然后将签名以及包含公钥信息的数字证书一同写入CERT.RSA中保存。CERT.RSA是一个满意PKCS7格局的文件。
Name”特点,其值便是该文件在apk包中的路径。
二、签名过程
CERT.RSA文件生成:
它会把前面生成的CERT.SF文件用私钥计算出签名,然后将签名以及包含公钥信息的数字证书一同写入CERT.RSA中保存。CERT.RSA是一个满意PKCS7格局的文件。
三、APK安装校验过程
1、经过在CERT.RSA文件中记录的签名信息,验证了CERT.SF没有被篡改正
RSA是一种非对称加密算法。用私钥经过RSA算法对摘要信息进行加密。在安装时只能使用公钥才能解密它。解密之后,将它与未加密的摘要信息进行对比,假如相符,则标明内容没有被反常修改。
2、经过CERT.SF文件中记录的摘要值,验证了MANIFEST.MF没有被修改正
3、apk内文件的摘要值要与MANIFEST.MF文件中记录的共同
这里简略介绍下SHA1数字签名。简略地说,它便是一种安全哈希算法,类似于MD5算法。它把恣意长度的输入,经过散列算法变成固定长度的输出(这里咱们称作“摘要信息”)。你不能仅经过这个摘要信息复原原来的信息。另外,它保证不同信息的摘要信息彼此不同。因而,假如你改变了apk包中的文件,那么在apk安装校验时,改变后的文件摘要信息与MANIFEST.MF的检验信息不同,于是程序就不能成功安装。
1、Android签名机制其实是对APK包完整性和发布组织唯一性的一种校验机制。
2、Android签名机制不能阻止APK包被修改,但修改后的再签名无法与原先的签名保持共同。(拥有私钥的状况在外)。
3、APK包加密的公钥就打包在APK包内,且不同的私钥对应不同的公钥。换句话言之,不同的私钥签名的APK公钥也必不相同。所以咱们能够根据公钥的对比,来判断私钥是否共同。
1、IT大王遵守相关法律法规,由于本站资源全部来源于网络程序/投稿,故资源量太大无法一一准确核实资源侵权的真实性;
2、出于传递信息之目的,故IT大王可能会误刊发损害或影响您的合法权益,请您积极与我们联系处理(所有内容不代表本站观点与立场);
3、因时间、精力有限,我们无法一一核实每一条消息的真实性,但我们会在发布之前尽最大努力来核实这些信息;
4、无论出于何种目的要求本站删除内容,您均需要提供根据国家版权局发布的示范格式
《要求删除或断开链接侵权网络内容的通知》:https://itdw.cn/ziliao/sfgs.pdf,
国家知识产权局《要求删除或断开链接侵权网络内容的通知》填写说明: http://www.ncac.gov.cn/chinacopyright/contents/12227/342400.shtml
未按照国家知识产权局格式通知一律不予处理;请按照此通知格式填写发至本站的邮箱 wl6@163.com