本篇我们来看看android的签名机制.发布出来的apk都是有META-INF文件夹,里面包含如下三个文件: 下面来一一解释这三个文件的作用(打包apk时签名过程):SignApk.main() 1.MANIFEST.MF:/build/tools/signapk/SignApk.java-addDigestsToManifest() 遍历APK包中除了META-INF\ 文件夹以外的所有文件,利用SHA1算法生成这些文件的消息摘要,然后转化为对应的base64编码.MANIFEST.MF存储的…

android修复了添加账户代码中的2处bug,retme取了很酷炫的名字launchAnyWhere.broadAnywhere(参考资料1.2).本文顺着前辈的思路学习bug的原理和利用思路. 我们先看下源码里setting中添加账户的代码,来理解bug产生的原理. /packages/apps/Settings/src/com/android/settings/accounts/AddAccountSettings.java下oncreate: public void onCreate(B…

1. 我们平时用eclipse或Android Studio开发得到的android应用程序,其实已经添加有默认的debug签名了. Android系统要求所有的程序经过数字签名才能安装,如果没有可用的数字签名,系统将不许安装运行此程序,不管是模拟器还是真实手机.因此,在设备或者是模拟器上运行调试程序之前,必须为应用程序设置数字签名.Android系统仅仅会在安装的时候测试签名证书的有效期,如果应用程序的签名是在安装之后才到期,那么应用程序仍然可以正常启用. Android通过数字签名来 标识应…

转载自: http://www.thinksaas.cn/group/topic/335449/ http://blog.csdn.net/u010571535/article/details/8992543# 一.Android证书的格式 Android签名中证书的格式采用X.509标准的版本三,不过省略了一些内容. X.509证书格式如下图所示: 二.证书的格式示例 从Chrome浏览器中导出一个证书,打开之后的样子如下图所示: 说明:由上图可以看出,在证书中,开发者的公钥是显式存在的. 三…

0x01 前言 上一篇讲到了 CVE-2011-0104 漏洞的成因和分析的方法,并没有对修复后的程序做分析.之后在一次偶然的情况下,想看一看是怎么修复的,结果却发现了一些问题 环境:修复后的 EXCEL.EXE 程序(提取码:t251) 0x02 伪代码分析 起初一开始参照资料上说对 memcpy 复制的值进行了过滤,来看一下伪代码:图中划红线的地方就是漏洞触发的函数,memcpy 的第三个参数(复制数据的大小)就是 a2 传进来的,当 a2 > a3 时就不会执行下面的 memcpy 漏洞函…

转载自:http://www.thinksaas.cn/group/topic/335450/ 一.Android签名概述 我们已经知道的是:Android对每一个Apk文件都会进行签名,在Apk文件安装时,系统会对其签名信息进行比对,判断程序的完整性,从而决定该Apk文件是否可以安装,在一定程度上达到安全的目的. 给定一个Apk文件,解压,可以看到一个META-INFO文件夹,在该文件夹下有三个文件:分别为MANIFEST.MF.CERT.SF和CERT.RSA.这三个文件分别表征以下含义:…

原帖地址:http://bbs.pediy.com/showthread.php?p=1335278#post1335278 近期在国内网易,雷锋网等网站爆出谷歌市场上的索尼官方的备份与恢复应用"Backup and Restore"被黑的消息.新闻显示:目前索尼官方的备份与恢复应用"Backup and Restore"已经被黑客彻底破解:甚至在Google Play商店里该应用的所有权都被黑客修改:目前仍不清楚使用破解修改版本的应用,会否对用户造成损害:建议用户…

Android APK 签名比对 发布过Android应用的朋友们应该都知道,Android APK的发布是需要签名的.签名机制在Android应用和框架中有着十分重要的作用. 例如,Android系统禁止更新安装签名不一致的APK:如果应用需要使用system权限,必须保证APK签名与Framework签名一致,等等.在<APK Crack>一文中,我们了解到,要破解一个APK,必然需要重新对APK进行签名.而这个签名,一般情况无法再与APK原先的签名保持一致.(除非APK原作者的私钥泄漏,…

参考: 各大热补丁方案分析和比较 Android App 线上热修复方案 1. Xposed Github地址:https://github.com/rovo89/Xposed 项目描述:Xposed框架使用起来很确实很好用.可是就是有一个巨大的缺点,就是需要Root权限. Xposed源码剖析——概述 2. Dexposed Github地址:https://github.com/alibaba/dexposed 阿里巴巴(淘宝团队),基于ROOT社区著名开源项目Xposed改造剥离了ROOT…

大神文章:http://blog.csdn.net/jiangwei0910410003/article/details/50402000 一.知识点 1.数据摘要(数据指纹).签名文件,证书文件 2.jarsign工具签名和signapk工具签名 3.keystore文件和pk8文件,x509.pem文件的关系 4.如何手动的签名apk 二.前提 首先来看一下数据摘要,签名文件,证书文件的知识点 1.数据摘要 这个知识点很好理解,百度百科即可,其实他也是一种算法,就是对一个数据源进行一个算法之…