寫在前面
進行apk校驗有一種方法是獲取apk的md5值,然后再從服務端獲取md5與之比較,如果md5值相同就是安全的。不知各位朋友有沒想過在服務端獲取md5這過程中有可能被人截取篡改呢?所以最好的解決方法是在本地進行自校驗。這篇文章將談談本地自校驗方面的知識和方法,實現在未安裝apk之前得知apk是否被修改。多謝各位閱讀_
正文
在介紹apk自校驗之前,要先對apk的簽名文件有個了解,也就是META-INF文件的下面三個文件
下面簡單介紹這三個文件的作用
MANIFEST.MF
保存了apk所有文件的摘要信息,其中摘要信息是經過SHA-1加密,然后再進行Base64加密所得。CERT.SF
保存了對MANIFEST.MF文件再進行一次SHA-1并Base64加密的信息,并同時保存了MANIFEST.MF文件的摘要信息。CERT.RSA
保存了公鑰和所采用的加密算法等信息。
好了,了解了apk的簽名文件后,就可以進行apk自校驗的分析了,主要用到MANIFEST.MF里的信息,思路如下:
- 讀取apk的所有文件
- 讀取MANIFEST.MF里的摘要信息
- 對apk的所有文件重新進行SHA-1并Base64的加密,得到每個文件的摘要信息
- 用第2步和第3步得到的信息作比較,如果全部相同代表apk沒有被修改,否則被修改了
- 校驗apk的簽名文件
好了,思路非常清晰了,下面我們來一步步來實現:
1. 讀取apk的所有文件
讀取apk文件,并用集合保存所有文件的輸入流。代碼如下:
private static Map<String, InputStream> getInputStream(ZipFile zipFile) throws IOException {
if(zipFile == null) {
return null;
}
Map<String, InputStream> fileMap = new HashMap<String, InputStream>();
Enumeration<? extends ZipEntry> files = zipFile.entries();
while(files.hasMoreElements()) {
ZipEntry entry = files.nextElement();
String entryName = entry.getName();
fileMap.put(entryName, zipFile.getInputStream(entry));
}
return fileMap;
}
2. 讀取MANIFEST.MF里的摘要信息
文件里的保存摘要信息的格式如下:
Name: res/drawable-xxhdpi-v4/ic_launcher.png // 文件名
SHA1-Digest: GVIfdEOBv4gEny2T1jDhGGsZOBo= // 文件的摘要信息
此處有個坑,就是文件名不一定只占一行,所以要處理好。代碼如下:
String manifestFileName = "META-INF/MANIFEST.MF";
InputStream in = fileMap.get(manifestFileName);
if(in == null) {
throw new FileNotFoundException("can not found file: " + manifestFileName);
}
BufferedReader br = new BufferedReader(new InputStreamReader(in));
HashMap<String, String> verityMap = new HashMap<String, String>();
String line = null;
while((line = br.readLine()) != null) {
if(line.startsWith("Name")) {
String filename = line.substring(line.indexOf(':') + 2);
line = br.readLine();
if(!line.startsWith("SHA1-Digest")) { // 文件名不一定只占一行
filename = replaceBlank(filename);
line = replaceBlank(line);
filename += line;
line = br.readLine();
}
String digest = line.substring(line.indexOf(':') + 2);
verityMap.put(filename, digest);
}
}
br.close();
in.close();
3. 對apk的所有文件進行SHA-1并Base64的加密
/**
* 獲取SHA1值
*/
private static byte[] getSha1(InputStream in) {
if(in == null) {
return null;
}
MessageDigest md = null;
try {
md = MessageDigest.getInstance("SHA1");
byte[] buffer = new byte[4096];
int len;
while((len = in.read(buffer)) > 0) {
md.update(buffer, 0, len);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
if(in != null) {
try {
in.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
return md.digest();
}
/**
* 獲取經過SHA1和Base64加密的文件摘要信息
*/
private static String getShaDigest(InputStream in) {
byte[] sha1 = getSha1(in);
byte[] base64 = Base64.encode(sha1, Base64.NO_WRAP);
try {
return new String(base64, "ASCII"); // 必須用ASCII格式才會有正確的結果
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
return null;
}
4. 用第2步和第3步得到的信息作比較
for(String filename : verityMap.keySet()) {
InputStream input = fileMap.get(filename);
if(input == null) {
throw new FileNotFoundException("can not found file: " + filename);
}
String digest = getShaDigest(input);
if(!checkDigest(verityMap.get(filename), digest)) {
return false;
}
input.close();
}
5. 校驗apk的簽名文件
大家有沒注意到,MANIFEST.MF文件中并沒有保存簽名文件的摘要信息,所以還需要對簽名文件進行驗證。而我發現,如果簽名文件如果被修改過,獲取apk簽名信息時會返回null!
/**
* 獲取apk文件的簽名
*/
public static Signature[] getSignaturesByApkFile(Context context, String apkFilePath) {
if(apkFilePath == null || apkFilePath.length() == 0) {
return null;
}
PackageManager pm = context.getPackageManager();
PackageInfo pkgInfo = pm.getPackageArchiveInfo(apkFilePath, PackageManager.GET_SIGNATURES);
if(pkgInfo != null) {
return pkgInfo.signatures;
}
return null;
}
結尾
該方法顯然是可行的,但效率并不理想,我試過校驗50多M的微博apk,花了12秒,再大一點的,就更糟糕了,但我使用的場景是小apk的,時間幾乎是毫秒級的,所以可以使用。如果各位朋友有更好的方法,請告知~
好了,上面的是我個人的理解,難免有錯。若有錯,歡迎指正。
如果這篇文章對你有幫助的話,不妨點個喜歡唄~
