首先咱們找一個已經簽名的apk文件,修改後綴名爲zip,而後解壓。能夠看到裏面有一個META-INF文件夾,裏面就是簽名驗證的文件。有三個文件MANIFEST.MF、CERT.SF、CERT.RSA分別保存着不一樣的簽名信息,下面一個一個來分析:java
首先是MANIFEST.MF文件,打開MANIFEST.MF文件以下:android
Manifest-Version: 1.0
Created-By: 1.0 (Android)windows
Name: res/layout/main.xml
SHA1-Digest: TKJzyMwELyakLZYM83o10LERyPQ=服務器
Name: AndroidManifest.xml
SHA1-Digest: vf51A+/qPTUhmRyQmU6GS83eO9Y=工具
Name: res/drawable/keys.png
SHA1-Digest: 3nPhCCVKGHdAha70YYcNvESbv5g=ui
Name: resources.arsc
SHA1-Digest: uh4vliR9xNyjDpU3d+WmfzTIumE=google
Name: classes.dex
SHA1-Digest: S83QHv3CvsRo3e4gWNpZpvifWzg=編碼
能夠看到每個對應的文件下面都有一個SHA1-Digest的值。這個值爲該文件SHA-1值進行base64編碼後的結果。url
來驗證一下:.net
首先獲取文件的SHA-1值以下爲:4CA273C8CC042F26A42D960CF37A35D0B111C8F4
複製該值到winhex中,以下:
另存爲文件sha1,而後使用base64工具對該文件進行base64編碼:
查看base64文件的內容爲:TKJzyMwELyakLZYM83o10LERyPQ=
和上面值徹底吻合。
還能夠經過查看源碼進行驗證:http://androidxref.com/4.4_r1/xref/build/tools/signapk/SignApk.java
也能夠看出MANIFEST.MF中保存了全部其餘文件的SHA-1並base64編碼後的值。
MANIFEST.MF文件分析完了,咱們繼續來分析CERT.SF這個文件,查看文件內容以下:
Signature-Version: 1.0
Created-By: 1.0 (Android)
SHA1-Digest-Manifest: Uin+pH/oQLOt1Esnw9TTJpf8URc=
Name: res/layout/main.xml
SHA1-Digest: +zm+W/d5nXnQRHhQq1BeXsj4sWU=
Name: res/drawable/keys.png
SHA1-Digest: 9CMNr6u3Zg/XymrpDC4NH/Qb+GE=
Name: AndroidManifest.xml
SHA1-Digest: q4qz8AP4LsfMh0TWEgTcSif6eqg=
Name: resources.arsc
SHA1-Digest: U1T+Km9u0pHDYncmJTz+Fae35iU=
Name: classes.dex
SHA1-Digest: iOqu/znF0ISqd6UtTmA4d5isoQs=
從上面能夠看到多了一項SHA1-Digest-Manifest的值,這個值就是MANIFEST.MF文件的SHA-1並base64編碼後的值。
源碼中也能夠看出:
然後面幾項的值是對MANIFEST.MF文件中的每項再次SHA1並base64編碼後的值。
把MANIFEST.MF文件的第一項拿出來,加兩個\r\n:
Name: res/layout/main.xml
SHA1-Digest: +zm+W/d5nXnQRHhQq1BeXsj4sWU=
保存爲文件,查看文件的SHA1值爲:FB39BE5BF7799D79D0447850AB505E5EC8F8B165
複製到windex,而後使用base64進行編碼,結果爲:+zm+W/d5nXnQRHhQq1BeXsj4sWU=
也就是上面CERT.SF文件中的第一項。
最後一個文件CERT.RSA包含了公鑰信息和發佈機構信息。
首先咱們使用本身的公鑰對apk進行簽名而後再來查看該文件的信息。
下載openssl:http://openssl-for-windows.googlecode.com/files/openssl-0.9.8k_WIN32.zip
解壓進入bin目錄,執行:
openssl genrsa -3 -out testkey.pem 2048
成功生成:testkey.pem
openssl req -new -x509 -key testkey.pem -out testkey.x509.pem -days 10000
若有錯誤:Unable to load config info from c:/openssl/ssl/openssl.cnf,把文件複製到這個目錄便可。
最後獲得新簽名的new.apk文件,找到裏面的CERT.RSA文件,使用下面的程序獲得裏面的信息:
package getCerFromCERTRSA;
import java.io.FileInputStream;
import java.security.cert.X509Certificate;
import sun.security.pkcs.PKCS7;
public class Test {
public static void main(String[] args) throws Exception {
FileInputStream fis = new FileInputStream(「F:\\CERT.RSA」);
PKCS7 pkcs7 = new PKCS7(fis);
X509Certificate publicKey = pkcs7.getCertificates()[0];
System.out.println(「issuer1:」 + publicKey.getIssuerDN());
System.out.println(「subject2:」 + publicKey.getSubjectDN());
System.out.println(publicKey.getPublicKey());
}
}
輸出結果以下:
issuer1:EMAILADDRESS=AloneMonkey@163.com, CN=AloneMonkey, OU=Coder, O=Coder, L=changsha, ST=hunan, C=cn
subject2:EMAILADDRESS=AloneMonkey@163.com, CN=AloneMonkey, OU=Coder, O=Coder, L=changsha, ST=hunan, C=cn
Sun RSA public key, 2048 bits
modulus: 27930608814223381116057921387749214219559488459834487651049472010943787998241917988099072185267085555323069515811092018497891216669481600034343393035843203267770583265755751519703070241992378137769943338514083146152811868483298881047691082051273026613334389423463323096799738980315739301150294781233689740925257750884810644704745529309986744250843593240651888438182488344317720617399108875832748401930758903852667930580643990438517537220738513412902358548274823884382164690517621920930706694824579819829817712366306758824210255361732602763101633753447049235308644785379979711318126409377911209205177369163520192093063
public exponent: 3
就是剛剛咱們輸入的信息。
PS:若是代碼出現找不到sun.security.pkcs.PKCS7時,解決方法是:右鍵工程屬性。
而後點擊Add:
總結:不一樣的程序公鑰不一樣。
簽名校驗:
1.程序自校驗,能夠把本來的公鑰信息(或者.RSA文件)存放到某一文件處,運行時計算當前的公鑰信息(或者.RSA文件)與存放的信息是否一致。
2.聯網校驗,運行時的公鑰信息和服務器端存儲的公鑰信息進行比對。