android 簽名驗證防止重打包

標籤：

網上資料很多，這裡只做一個筆記
反編譯 dex 修改重新打包簽名後 apk 的簽名資訊肯定會改變，所以可以在代碼中判斷簽名資訊是否
被改變過，如果簽名不一致就退出程式，以防止 apk 被重新打包。

1 java 代碼中驗證簽名

用 PackageManager 擷取簽名資訊

 public static int getSignature(Context context) {    PackageManager pm = context.getPackageManager();    PackageInfo pi;    StringBuilder sb = new StringBuilder();        try {        pi = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);        Signature[] signatures = pi.signatures;        for (Signature signature : signatures) {            sb.append(signature.toCharsString());        }    } catch (PackageManager.NameNotFoundException e) {        e.printStackTrace();    }    return sb.toString().hashCode();}

這種純粹的字元比較都很容易破解掉，直接在 smali 中全域搜尋幹掉或修改你的簽名驗證邏輯就行了，實際上用處不大。

2 簽名驗證放到 native 層用 NDK 開發
這種驗證稍微安全了一點，畢竟能逆向 C 和 C++ 的人要少一些。像我這種現在還不能逆向C的就無能為力了。
但對於能逆向C的同學來說，也是很輕易的就改掉你的驗證邏輯，可以考慮加上，畢竟還是有點用的。
3 驗證放到服務端
感覺沒什麼鳥用，直接幹掉或修改你介面的判斷邏輯的就行了。

還有很多進階方法可以直接繞過簽名驗證，還待研究。

 

android 簽名驗證防止重打包