首页
社区
课程
招聘
[讨论]请问V1V2签名到底能不能防止资源图片被替换?
发表于: 2021-12-28 19:58 5306

[讨论]请问V1V2签名到底能不能防止资源图片被替换?

2021-12-28 19:58
5306

请问V1V2签名到底能不能防止资源图片被替换?
百度了一下午,终于找到教程给APK做了V1V2签名,用apksigner verify -v xxx.apk验证,结果如下:
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Number of signers: 1
说明APK已经是V1V2签名了吧,那为什么我把APK改成ZIP后,直接替换里面的资源图片,再改回APK,依然能正常安装,运行。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 0
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

而且图片被替换后,APK签名的SHA1值也没有变,这样也不能从校验签名SHA1值的变化来阻止APP运行.

测试的安卓版本是6.0,后来在安卓8.1测试了,替换图片后的APK确实无法安装了。但这是6.0的系统仍然没办法防止APK的的资源图片被替换呀!!

最后于 2021-12-28 20:14 被needyou编辑 ,原因:
2021-12-28 20:08
0
雪    币: 324
活跃值: (2884)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
你猜v2签名是安卓哪个版本出的?
2021-12-28 21:20
0
雪    币: 0
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
安卓7.0
2021-12-28 21:24
0
雪    币: 0
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
测试了一下,感觉V2签名也没多大作用,直接替换图片后,不用重新签名,APK不能在安卓7.0以上安装,但可以在7.0以下正常安装使用。如果是为了防止重新签名,必须得在代码里加入签名SHA1,或者MD5验证。否则,完全可以删掉签名,再重新签名,就可以在任何版本上安装使用。那么既然需要在代码里加入签名SHA1,或者MD5验证,那么使用V1还是V2签名又有啥区别呢?
2021-12-29 09:17
0
雪    币: 2089
活跃值: (3933)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
你是怎么确保你应用运行时签名获取的途径不会被篡改的?
有几百种方法可以篡改你获取的签名。
2021-12-29 17:31
0
雪    币: 342
活跃值: (789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
V1 是对每个文件做算法
V2是对APK的片段做算法

V2肯定不行
2021-12-29 17:40
0
游客
登录 | 注册 方可回帖
返回
//