Android 校验包是否被篡改

原创

mob64ca12f5c08e 2024-09-09 06:20:12 ©著作权

文章标签 java 数字签名 Android 文章分类 Android 移动开发

©著作权归作者所有：来自51CTO博客作者mob64ca12f5c08e的原创作品，请联系作者获取转载授权，否则将追究法律责任

Android 校验包是否被篡改的流程指导

在开发Android应用时，确保代码未被篡改是非常重要的。本篇文章将指导你通过一系列步骤来验证你的APK包是否被篡改。我们将使用Hash校验和数字签名验证等方法。下面是完整的流程和每一步所需的代码示例。

流程概述

以下是校验包是否被篡改的主要步骤：

步骤	描述	代码示例
1	计算APK的哈希值	`generateAPKHash()`
2	获取APK的数字签名	`getSignature()`
3	验证哈希和签名	`verifyIntegrity()`
4	返回验证结果	`returnResult()`

详细步骤说明

步骤1: 计算APK的哈希值

我们需要计算APK的哈希值，以便后续进行比较。

import java.io.File;
import java.io.FileInputStream;
import java.security.MessageDigest;

public String generateAPKHash(String apkPath) throws Exception {
    MessageDigest md = MessageDigest.getInstance("SHA-256");
    File file = new File(apkPath);
    FileInputStream fis = new FileInputStream(file);
    byte[] dataBytes = new byte[1024];
    int nread;
    while ((nread = fis.read(dataBytes)) != -1) {
        md.update(dataBytes, 0, nread);
    }
    byte[] hashBytes = md.digest();
    StringBuilder sb = new StringBuilder();
    for (byte b : hashBytes) {
        sb.append(String.format("%02x", b));
    }
    fis.close();
    return sb.toString(); // 返回APK的SHA-256哈希值
}

步骤2: 获取APK的数字签名

接下来，我们需要读取APK的数字签名，以用于后续的完整性验证。

import android.content.pm.PackageInfo;
import android.content.pm.PackageManager;
import android.content.pm.Signature;

public String getSignature(String packageName, PackageManager packageManager) throws Exception {
    PackageInfo packageInfo = packageManager.getPackageInfo(packageName, PackageManager.GET_SIGNATURES);
    Signature[] signatures = packageInfo.signatures;
    return Signature.toCharsString(signatures[0].toByteArray()); // 获取APK的数字签名
}

步骤3: 验证哈希和签名

通过比较计算出的哈希值和存储的哈希值，你可以验证APK是否被篡改。同时，也可以验证数字签名的合法性。

public boolean verifyIntegrity(String currentHash, String expectedHash, String currentSignature, String expectedSignature) {
    return currentHash.equals(expectedHash) && currentSignature.equals(expectedSignature); // 校验哈希和签名
}

步骤4: 返回验证结果

最后，我们可以将验证结果返回给用户。可以设置不同的返回信息以报告状态。

public String returnResult(boolean isValid) {
    if (isValid) {
        return "APK未被篡改"; // 表示APK完整
    } else {
        return "APK已被篡改"; // 表示APK遭到攻击
    }
}

状态图

以下是流程的状态图，显示了从APK校验开始到完成的状态转换：

stateDiagram
    [*] --> 计算哈希值
    计算哈希值 --> 获取签名
    获取签名 --> 验证完整性
    验证完整性 --> [*]
    验证完整性 --> 返回结果

甘特图

接下来是流程的甘特图，显示了每个步骤的持续时间。

gantt
    title APK 校验甘特图
    dateFormat  YYYY-MM-DD
    section 校验流程
    计算哈希值        :done,    des1, 2023-01-01, 1d
    获取签名          :done,    des2, 2023-01-02, 1d
    验证完整性        :active,  des3, 2023-01-03, 1d
    返回结果          :         des4, 2023-01-04, 1d