安卓App加固后 如何进行二次签名
  • cici
  • 2021年07月29日 14:32
  • 0

通过对App加固,提升App 安全性,防止Apk(安卓应用软件包)被入侵、篡改、山寨,提升代码的安全性和被破解难度。不过,在对Apk加固后,Apk原有的签名信息会丢失,需要重新签名,否则,无法在安装到手机等安卓设备上。

因此Apk重签名需要和加固前保持一致,否则会触发加固的防二次打包功能,导致Apk无法正常运行。

Apk的签名的作用

软件签名并非安卓系统首创,在诺基亚主导的塞班(Symbian OS)时代就开始运行。通过签名每个程序开发商都拥有合法账号ID。

Apk签名类似在开发者在Apk中写入一个独有的“指纹”。安卓App导出为Apk时,需要选择一个数字证书,也就是keystore文件。该Key文件用来对App进行签名,是导出App的一个钥匙,是Apk的独有“指纹”,需要开发者自己生成。

[MD:Title]

生成签名以后,除非再次修改,否则Apk将永久有效。同时,在安卓设备上安装该Apk,安卓形同会对Apk签名进行校验,如果校验失败则无法获得通过。这是安卓系统自带的一种安全性验证机制,目的是为了确保Apk来源的真实性,防止Apk遭第三方篡改,保证Apk的完整性、原创新和安全性。

Apk签名的组成

APK签名分块包含了4部分:分块长度、ID-VALUE序列、固定magic值。

签名有V1、V2、V3、V4等四个方案。其中,V2方案应用最多。该方案V是在安卓7.0 (Nougat) 中被引入的,是一种全文件签名方案,能够发现对 APK 的受保护部分进行的所有更改,从而有助于加快验证速度并增强完整性保证。

V2方案支持并行计算,无需计算所有文件的摘要,以分块形式进行hash,良好保证了APK内各文件的完整性。而且它只需进行一次hash校验,速度很快。

如何为加固后的Apk进行二次签名?

以顶象安卓App加固为例。

第一步,在顶象官网下载、解压签名工具dx-signer.jar。

第二步,运行签名工具,其中Windows平台下运行run-win.bat, mac/linux平台下运行run-mac-linux.sh。

第三步,选择签名的key文件,并输入密码。

第四步,选择alias名,并输密码。

第五步,点击“签名”按钮,系统自动进行签名。

顶象App加固基于虚机源码保护技术,良好兼容Java、Kotlin、C/C++等多种语言。可以保护Android的DEX、配置、SO等16种数据和文件安全,可有效侦测对抗动态调试、代码注入、内存dump、root环境、多开环境、模拟器、重打包等风险。

顶象App加固提供了一套完整的工具链,首先把App代码编译成中间的二进制文件,随后生成独特的虚机源码保护执行环境以及只能在该环境下执行的运行程序。也就是虚机源码保护会在App内部隔离出独立的执行环境,该核心代码的运行程序在此独立的执行环境里运行。即便App本身被破解,这部分代码仍然不可见。

顶象App加固自带“蜜罐”功能(一种针对攻的欺骗的术,诱使攻击方实施攻击,从而可以有效捕获攻击行为并对其机型分析,进而通过技术和管理手段来增强实际系统的安全防护能力),可以通过自身的探针感知到环境的变化,实时探测到外界对本环境的调试、注入等非正常执行流程变化,将调试动作引入程序陷阱,并发出警报,进而进行实时更新,进一步提高安全强度。

此外,顶象App加固率先支持对iOS免源码加固,提供代码混淆、字符串混淆、符号混淆、指令虚化、防调试、反编译、防Class dump的保护,并支持Bitcode输出。

文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0