網上資料很多,這里只做一個筆記
反編譯 dex 修改重新打包簽名后 apk 的簽名信息肯定會改變,所以可以在代碼中判斷簽名信息是否
被改變過,如果簽名不一致就退出程序,以防止 apk 被重新打包。
1 java 代碼中驗證簽名
用 PackageManager 獲取簽名信息
public static int getSignature(Context context) { PackageManager pm = context.getPackageManager(); PackageInfo pi; StringBuilder sb = new StringBuilder(); try { pi = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES); Signature[] signatures = pi.signatures; for (Signature signature : signatures) { sb.append(signature.toCharsString()); } } catch (PackageManager.NameNotFoundException e) { e.printStackTrace(); } return sb.toString().hashCode(); }
這種純粹的字符比較都很容易破解掉,直接在 smali 中全局搜索干掉或修改你的簽名驗證邏輯就行了,實際上用處不大。
2 簽名驗證放到 native 層用 NDK 開發
這種驗證稍微安全了一點,畢竟能逆向 C 和 C++ 的人要少一些。像我這種現在還不能逆向C的就無能為力了。
但對於能逆向C的同學來說,也是很輕易的就改掉你的驗證邏輯,可以考慮加上,畢竟還是有點用的。
3 驗證放到服務端
感覺沒什么鳥用,直接干掉或修改你接口的判斷邏輯的就行了。
還有很多高級方法可以直接繞過簽名驗證,還待研究。