写在前面
进行apk校验有一种方法是获取apk的md5值,然后再从服务端获取md5与之比较,如果md5值相同就是安全的。不知各位朋友有没想过在服务端获取md5这过程中有可能被人截取篡改呢?所以最好的解决方法是在本地进行自校验。这篇文章将谈谈本地自校验方面的知识和方法,实现在未安装apk之前得知apk是否被修改。多谢各位阅读_
正文
在介绍apk自校验之前,要先对apk的签名文件有个了解,也就是META-INF文件的下面三个文件
下面简单介绍这三个文件的作用
MANIFEST.MF
保存了apk所有文件的摘要信息,其中摘要信息是经过SHA-1加密,然后再进行Base64加密所得。CERT.SF
保存了对MANIFEST.MF文件再进行一次SHA-1并Base64加密的信息,并同时保存了MANIFEST.MF文件的摘要信息。CERT.RSA
保存了公钥和所采用的加密算法等信息。
好了,了解了apk的签名文件后,就可以进行apk自校验的分析了,主要用到MANIFEST.MF里的信息,思路如下:
- 读取apk的所有文件
- 读取MANIFEST.MF里的摘要信息
- 对apk的所有文件重新进行SHA-1并Base64的加密,得到每个文件的摘要信息
- 用第2步和第3步得到的信息作比较,如果全部相同代表apk没有被修改,否则被修改了
- 校验apk的签名文件
好了,思路非常清晰了,下面我们来一步步来实现:
1. 读取apk的所有文件
读取apk文件,并用集合保存所有文件的输入流。代码如下:
private static Map<String, InputStream> getInputStream(ZipFile zipFile) throws IOException {
if(zipFile == null) {
return null;
}
Map<String, InputStream> fileMap = new HashMap<String, InputStream>();
Enumeration<? extends ZipEntry> files = zipFile.entries();
while(files.hasMoreElements()) {
ZipEntry entry = files.nextElement();
String entryName = entry.getName();
fileMap.put(entryName, zipFile.getInputStream(entry));
}
return fileMap;
}
2. 读取MANIFEST.MF里的摘要信息
文件里的保存摘要信息的格式如下:
Name: res/drawable-xxhdpi-v4/ic_launcher.png // 文件名
SHA1-Digest: GVIfdEOBv4gEny2T1jDhGGsZOBo= // 文件的摘要信息
此处有个坑,就是文件名不一定只占一行,所以要处理好。代码如下:
String manifestFileName = "META-INF/MANIFEST.MF";
InputStream in = fileMap.get(manifestFileName);
if(in == null) {
throw new FileNotFoundException("can not found file: " + manifestFileName);
}
BufferedReader br = new BufferedReader(new InputStreamReader(in));
HashMap<String, String> verityMap = new HashMap<String, String>();
String line = null;
while((line = br.readLine()) != null) {
if(line.startsWith("Name")) {
String filename = line.substring(line.indexOf(':') + 2);
line = br.readLine();
if(!line.startsWith("SHA1-Digest")) { // 文件名不一定只占一行
filename = replaceBlank(filename);
line = replaceBlank(line);
filename += line;
line = br.readLine();
}
String digest = line.substring(line.indexOf(':') + 2);
verityMap.put(filename, digest);
}
}
br.close();
in.close();
3. 对apk的所有文件进行SHA-1并Base64的加密
/**
* 获取SHA1值
*/
private static byte[] getSha1(InputStream in) {
if(in == null) {
return null;
}
MessageDigest md = null;
try {
md = MessageDigest.getInstance("SHA1");
byte[] buffer = new byte[4096];
int len;
while((len = in.read(buffer)) > 0) {
md.update(buffer, 0, len);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
if(in != null) {
try {
in.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
return md.digest();
}
/**
* 获取经过SHA1和Base64加密的文件摘要信息
*/
private static String getShaDigest(InputStream in) {
byte[] sha1 = getSha1(in);
byte[] base64 = Base64.encode(sha1, Base64.NO_WRAP);
try {
return new String(base64, "ASCII"); // 必须用ASCII格式才会有正确的结果
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
return null;
}
4. 用第2步和第3步得到的信息作比较
for(String filename : verityMap.keySet()) {
InputStream input = fileMap.get(filename);
if(input == null) {
throw new FileNotFoundException("can not found file: " + filename);
}
String digest = getShaDigest(input);
if(!checkDigest(verityMap.get(filename), digest)) {
return false;
}
input.close();
}
5. 校验apk的签名文件
大家有没注意到,MANIFEST.MF文件中并没有保存签名文件的摘要信息,所以还需要对签名文件进行验证。而我发现,如果签名文件如果被修改过,获取apk签名信息时会返回null!
/**
* 获取apk文件的签名
*/
public static Signature[] getSignaturesByApkFile(Context context, String apkFilePath) {
if(apkFilePath == null || apkFilePath.length() == 0) {
return null;
}
PackageManager pm = context.getPackageManager();
PackageInfo pkgInfo = pm.getPackageArchiveInfo(apkFilePath, PackageManager.GET_SIGNATURES);
if(pkgInfo != null) {
return pkgInfo.signatures;
}
return null;
}
结尾
该方法显然是可行的,但效率并不理想,我试过校验50多M的微博apk,花了12秒,再大一点的,就更糟糕了,但我使用的场景是小apk的,时间几乎是毫秒级的,所以可以使用。如果各位朋友有更好的方法,请告知~
好了,上面的是我个人的理解,难免有错。若有错,欢迎指正。
如果这篇文章对你有帮助的话,不妨点个喜欢呗~
