寫在前面
進(jìn)行apk校驗(yàn)有一種方法是獲取apk的md5值搔谴,然后再?gòu)姆?wù)端獲取md5與之比較琴儿,如果md5值相同就是安全的董虱。不知各位朋友有沒想過在服務(wù)端獲取md5這過程中有可能被人截取篡改呢捂敌?所以最好的解決方法是在本地進(jìn)行自校驗(yàn)轰胁。這篇文章將談?wù)劚镜刈孕r?yàn)方面的知識(shí)和方法,實(shí)現(xiàn)在未安裝apk之前得知apk是否被修改掉盅。多謝各位閱讀_
正文
在介紹apk自校驗(yàn)之前也拜,要先對(duì)apk的簽名文件有個(gè)了解,也就是META-INF文件的下面三個(gè)文件
下面簡(jiǎn)單介紹這三個(gè)文件的作用
MANIFEST.MF
保存了apk所有文件的摘要信息趾痘,其中摘要信息是經(jīng)過SHA-1加密慢哈,然后再進(jìn)行Base64加密所得。CERT.SF
保存了對(duì)MANIFEST.MF文件再進(jìn)行一次SHA-1并Base64加密的信息永票,并同時(shí)保存了MANIFEST.MF文件的摘要信息卵贱。CERT.RSA
保存了公鑰和所采用的加密算法等信息。
好了侣集,了解了apk的簽名文件后键俱,就可以進(jìn)行apk自校驗(yàn)的分析了,主要用到MANIFEST.MF里的信息肚吏,思路如下:
- 讀取apk的所有文件
- 讀取MANIFEST.MF里的摘要信息
- 對(duì)apk的所有文件重新進(jìn)行SHA-1并Base64的加密方妖,得到每個(gè)文件的摘要信息
- 用第2步和第3步得到的信息作比較狭魂,如果全部相同代表apk沒有被修改罚攀,否則被修改了
- 校驗(yàn)apk的簽名文件
好了,思路非常清晰了雌澄,下面我們來一步步來實(shí)現(xiàn):
1. 讀取apk的所有文件
讀取apk文件斋泄,并用集合保存所有文件的輸入流。代碼如下:
private static Map<String, InputStream> getInputStream(ZipFile zipFile) throws IOException {
if(zipFile == null) {
return null;
}
Map<String, InputStream> fileMap = new HashMap<String, InputStream>();
Enumeration<? extends ZipEntry> files = zipFile.entries();
while(files.hasMoreElements()) {
ZipEntry entry = files.nextElement();
String entryName = entry.getName();
fileMap.put(entryName, zipFile.getInputStream(entry));
}
return fileMap;
}
2. 讀取MANIFEST.MF里的摘要信息
文件里的保存摘要信息的格式如下:
Name: res/drawable-xxhdpi-v4/ic_launcher.png // 文件名
SHA1-Digest: GVIfdEOBv4gEny2T1jDhGGsZOBo= // 文件的摘要信息
此處有個(gè)坑镐牺,就是文件名不一定只占一行炫掐,所以要處理好。代碼如下:
String manifestFileName = "META-INF/MANIFEST.MF";
InputStream in = fileMap.get(manifestFileName);
if(in == null) {
throw new FileNotFoundException("can not found file: " + manifestFileName);
}
BufferedReader br = new BufferedReader(new InputStreamReader(in));
HashMap<String, String> verityMap = new HashMap<String, String>();
String line = null;
while((line = br.readLine()) != null) {
if(line.startsWith("Name")) {
String filename = line.substring(line.indexOf(':') + 2);
line = br.readLine();
if(!line.startsWith("SHA1-Digest")) { // 文件名不一定只占一行
filename = replaceBlank(filename);
line = replaceBlank(line);
filename += line;
line = br.readLine();
}
String digest = line.substring(line.indexOf(':') + 2);
verityMap.put(filename, digest);
}
}
br.close();
in.close();
3. 對(duì)apk的所有文件進(jìn)行SHA-1并Base64的加密
/**
* 獲取SHA1值
*/
private static byte[] getSha1(InputStream in) {
if(in == null) {
return null;
}
MessageDigest md = null;
try {
md = MessageDigest.getInstance("SHA1");
byte[] buffer = new byte[4096];
int len;
while((len = in.read(buffer)) > 0) {
md.update(buffer, 0, len);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
if(in != null) {
try {
in.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
return md.digest();
}
/**
* 獲取經(jīng)過SHA1和Base64加密的文件摘要信息
*/
private static String getShaDigest(InputStream in) {
byte[] sha1 = getSha1(in);
byte[] base64 = Base64.encode(sha1, Base64.NO_WRAP);
try {
return new String(base64, "ASCII"); // 必須用ASCII格式才會(huì)有正確的結(jié)果
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
return null;
}
4. 用第2步和第3步得到的信息作比較
for(String filename : verityMap.keySet()) {
InputStream input = fileMap.get(filename);
if(input == null) {
throw new FileNotFoundException("can not found file: " + filename);
}
String digest = getShaDigest(input);
if(!checkDigest(verityMap.get(filename), digest)) {
return false;
}
input.close();
}
5. 校驗(yàn)apk的簽名文件
大家有沒注意到睬涧,MANIFEST.MF文件中并沒有保存簽名文件的摘要信息募胃,所以還需要對(duì)簽名文件進(jìn)行驗(yàn)證。而我發(fā)現(xiàn)畦浓,如果簽名文件如果被修改過痹束,獲取apk簽名信息時(shí)會(huì)返回null!
/**
* 獲取apk文件的簽名
*/
public static Signature[] getSignaturesByApkFile(Context context, String apkFilePath) {
if(apkFilePath == null || apkFilePath.length() == 0) {
return null;
}
PackageManager pm = context.getPackageManager();
PackageInfo pkgInfo = pm.getPackageArchiveInfo(apkFilePath, PackageManager.GET_SIGNATURES);
if(pkgInfo != null) {
return pkgInfo.signatures;
}
return null;
}
結(jié)尾
該方法顯然是可行的讶请,但效率并不理想祷嘶,我試過校驗(yàn)50多M的微博apk,花了12秒,再大一點(diǎn)的论巍,就更糟糕了烛谊,但我使用的場(chǎng)景是小apk的,時(shí)間幾乎是毫秒級(jí)的嘉汰,所以可以使用丹禀。如果各位朋友有更好的方法,請(qǐng)告知~
好了郑现,上面的是我個(gè)人的理解湃崩,難免有錯(cuò)。若有錯(cuò)接箫,歡迎指正攒读。
如果這篇文章對(duì)你有幫助的話,不妨點(diǎn)個(gè)喜歡唄~
