- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我正在使用 Java (J2SE) 创建桌面应用程序。它具有检查两个未知 .apk 文件(例如 app1.apk 和 app2.apk)是否是同一应用程序的功能。我的想法是比较两个应用程序的指纹(在文件 META-INF/CERT.RSA 中)和名称。
此外,我还想获取文件strings.xml中定义的Android应用程序名称。特别是,我首先阅读了 AndroidManifest.xml,在标签 application 中,我获取了属性 android:label="@string/app_name" 的值。然后我获取文件 strings.xml 中属性 app_name 的值。然而,该文件被编译在文件 resources.arsc 中,这是一个不可读的二进制文件。
这个想法的任何解决方案或检查两个未知的 .apk 文件是否是同一个应用程序的任何其他想法?我非常感谢您的帮助。
谢谢
最佳答案
包名称用作应用程序的唯一标识符。
所以基本上引用同一个应用程序的 2 个 apk 将具有相同的包名称。
那么可能这些 apk 之一已损坏,例如:
如果您想确保其中一个应用程序没有被第三部分修改,您将必须执行上面的所有这些检查。
然后总结一下确定 2 个 apk 是否是同一个官方应用程序的整个过程:
如果 apk 引用不同版本的同一应用程序(添加或删除的文件),则 CERT.SF 不一定相同,但公钥/私钥对必须保持不变才能更新此应用程序(除非会导致“签名冲突”或“现有包已存在”错误)
<小时/>检查签名验证
您可以为此使用 JarSigner 源代码:http://grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/6-b14/sun/security/tools/JarSigner.java#JarSigner.signatureRelated%28java.lang.String%29
使用外部 jar lib sun-security-tool :http://www.java2s.com/Code/Jar/a/Downloadandroidsunjarsignsupport11jar.htm
检查公钥是否相同
比较提取的公钥。这是我从中提取 PKCS7 证书和公钥的方法:
/**
* Retrieve public key from PKCS7 certificate
*
* @param certPath
* @return
* @throws IOException
* @throws InvalidKeySpecException
* @throws NoSuchAlgorithmException
*/
public static String getPublicKey(String certPath) throws IOException, InvalidKeySpecException, NoSuchAlgorithmException {
File f = new File(certPath);
FileInputStream is = new FileInputStream(f);
ByteArrayOutputStream buffer = new ByteArrayOutputStream();
int nRead;
byte[] data = new byte[16384];
while ((nRead = is.read(data, 0, data.length)) != -1) {
buffer.write(data, 0, nRead);
}
buffer.flush();
PKCS7 test = new PKCS7(buffer.toByteArray());
X509Certificate[] certs = test.getCertificates();
for (int i = 0; i < certs.length; i++) {
if (certs[i] != null && certs[i].getPublicKey() != null) {
return new BASE64Encoder().encode(certs[i].getPublicKey().getEncoded());
}
}
return "";
}
从 Android Manifest 中读取包名称
这里您必须解析 Android 二进制 XML 以提取这些信息。通过此链接,您可以使用很多工具(和代码 fragment ):
How to parse the AndroidManifest.xml file inside an .apk package
要获取您的应用程序名称,这有点不同,这是 Android 编译的资源。 apktool 可以解码此类文件,但如果您想在 java 中执行此操作,则必须自己解码。这是 apktool 解码器 https://github.com/iBotPeaches/Apktool/blob/master/brut.apktool/apktool-lib/src/main/java/brut/androlib/ApkDecoder.java 。但是,如果您想要应用程序名称,则在 string.xml 中不需要它,因此这是您想要执行的特定操作。
<小时/>我制作了一个Java工具,可以进行jar验证/公钥比较:https://github.com/bertrandmartel/apk-checker
<小时/>使用命令行,您可以更快、更轻松地测试输出:
检查签名验证
jarsigner -verbose -verify <your_apk_file_name>.apk | grep "jar verified"
检查公钥是否相同
unzip -p <your_apk_file_name1>.apk META-INF/CERT.RSA | keytool -printcert
检查包名是否相同
aapt d xmltree <your_apk_file_name1>.apk AndroidManifest.xml | grep "package=" | sed -e "s/.*=//g" | sed -e "s/ .*//g"
https://gist.github.com/bertrandmartel/374564b950e8a577550b 提供了 Bash 脚本的要点
关于java - Android 证书签名和应用程序名称,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32033675/
我是一名优秀的程序员,十分优秀!