今天简单看了下Android对apk的打包过程,包括签名和签名校验。
Android的APK打包流程 (1).jpg
从java到dex
首先看到图中的绿色框,有三种java文件,分别是
源代码的java source文件;
aidl生成的java interface文件;
aapt工具生成的R.java文件。
所以编译的步骤如下:
1.aapt工具将大部分res资源(图片除外)编译成二进制文件,同时生成R.Java文件和resources.arsc文件,里面保存了资源的ID和在APK中的路径。
2.编译器将.aidl文件编译成.java文件。
3.将所有.java文件(包括R文件和AIDL生成的.java文件),通过javac工具生成class文件。
4.将生成的.class文件和第三方库的.class文件通过dx工具生成classes.dex文件。
从dex到apk
5.将上一步中的资源文件、dex文件和第三方的非java资源包(.so),通过apk builder工具生成未签名的apk包。
6.如果是debug模式用默认签名,release模式用开发者的签名。
7.通过zipalign工具对apk中的未压缩资源(图片、视频)进行“对齐操作”,让资源按4字节的边界进行对齐,使得资源访问速度更快。
apk的签名
Android在apk安装时会进行签名验证,主要是为了保证信息的真实性和正确性,防止第三方伪造或者篡改。
随着Android版本升级,总共有三代应用签名方案,v1,v2,和v3。签名工具有两种:jarsigner 和 apksigner。
v1签名是使用jarsigner,基于jar包签名。
签名的过程有三个概念,消息摘要,数字签名和签名证书。
1.消息摘要是对数据执行一个单向的hash函数,生成一个固定长度的hash值,这个过程是不可逆的,唯一的,同一个数据,每次生成的消息摘要都必须是相同的。通常用消息摘要来检验消息的完整性和正确性。
2.数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改。
3.数字证书是在证书发布时,CA 机构会根据签名算法对整个证书计算其 hash 值并和证书放在一起,使用者打开证书时,自己也根据签名算法计算一下证书的 hash 值(指纹),如果和证书中记录的指纹对的上,就说明证书没有被修改过。证书和公钥一起使用,可以保证公钥没有被篡改。
所以apk的签名过程如下:
- 对apk中的所有文件生成一个消息摘要MANIFEST.MF文件;
- 对MANIFEST.MF二次摘要,生成CERT.SF 文件;
- 使用私钥对CERT.SF 文件进行加密,并将公钥和证书一起打包。
签名校验
签名校验的过程分为3步:
- 检查 APK 中包含的所有文件,对应的摘要值与 MANIFEST.MF 文件中记录的值一致。
- 使用证书文件(CERT.RSA文件)检验签名文件(CERT.SF 文件)没有被修改过。
- 使用签名文件(CERT.SF 文件)检验MANIFEST.MF文件没有被修改过。
参考:
https://blog.csdn.net/luoshengyang/article/details/8744683
https://developer.android.com/studio/build/building-cmdline?hl=zh-cn
https://blog.csdn.net/u014780554/article/details/81284330
网友评论