<meta charset="utf-8">
将一个签名后的APK的后缀改为.zip,然后解压后,会看到如下所示几个文件。
clipboard.png
其中META-INF文件夹里存放的就是Android APK的签名信息。打开META-INF文件夹可以看到如下所示三个文件。
clipboard2.png
- MANIFEST.MF
这个文件是对之前我们解压APK之后的文件进行了一次摘要运算,然后对摘要结果进行了 Base64编码转换。除了META-INF文件夹外,其他所有文件和文件夹下所有文件都参与了摘要运算。
此处使用的摘要算法是SHA256或SHA1.
clipboard3.png
- CERT.SF
clipboard4.png
该文件主要是对MANIFEST.MF文件进行运算,SHA-256-Digest-Manifest后放的数值是对MANIFEST.MF整个文件进行了一次SHA运算,并使用BASE64进行转码。
剩下的条目是依次对MANIFERST.MF中的每个条目进行SHA运算和BASE64编码。
- CERT.RSA
这个文件我们打开后会发现一堆乱码,它存储的是签名证书,对CERT.SF 进行了签名,将签名和证书一起放在了CERT.RSA文件中。
如何验证APK呢?
首先会将APK的信息按照顺序依次进行摘要运算 base64转码等等得到CERT.SF文件,然后将得到的CERT.RSA进行解析,得到签名文件和公钥,使用公钥对签名文件进行解密,得到存储的CERT.SF文件,比对两个文件,如果一样,那么继续比对CERT.SF中的每个条目,如果和MANIFEST.MF每个条目做完摘要运算和BASE64转码一致,最后去比对MANIFEST.MF每个条目,同样的比对方法,最后全部一致,那么APK使我们想要的APK,身份以及完整性都没问题,否则则不承认该APK的来源。
这么做为何会有效呢?
如果我们将apk中的某些文件进行了修改,那么MANIFEST.MF文件中的摘要就不会一样,那么验证也不会通过。
如果紧接着修改CERT.SF文件的每个条目,但是由于CERT.RSA证书无法修改,所以验证也不会通过。
网友评论