有没有办法检索用于签署APK的密钥的签名?我用密钥库中的密钥签署了我的APK.如何以编程方式检索它?
希望改进我的Android应用程序的安全性,以标记.apk是否已被提取,修改,重新包装和重新签名.这是来自Zdnet的文章,注意到问题link1.
令人担忧的是,如果应用程序被黑客攻击,他们可能会添加恶意代码并上传到备用应用程序商店并欺骗用户下载它.
所以我正在考虑验证apk或签名证书的校验和的代码?
我很欣赏应用程序代码可以重新打包并删除任何安全代码,但它确实增加了重新打包的难度,也许足以让他们尝试另一个应用程序.
[更新]我知道Google Play商店许可模块提供类似的东西,但我正在寻找非付费应用和其他/非市场的东西.
我一直在阅读很多关于恶意软件编写者如何重新打包现有的benigh android .apk并重新打包它以添加恶意功能.
现在,根据我对.apk文件结构的理解,每个.apk文件都包含一个.dex文件,该文件基本上是java字节转换为.dex格式.此外,该应用程序还有一个名为manifest.xml的二进制XML以及其他资源文件和资产.如果我们必须向应用程序添加额外的恶意功能,那么我们必须修改manifest.xml(可以通过将二进制xml转换回普通xml轻松完成),资源(可以直接替换)和.dex文件.
但.dex文件具有特定的结构.据我所知,对它做的任何修改都应该破坏代码.这些工具使用哪些技术来防止代码破坏,因为如果向原始应用程序添加一些恶意功能,我们实际上是添加一个额外的模块.
有哪些工具可以支持.apk文件重新打包?
谢谢.
编辑:有些成员可能会发现讨论有关逆向工程的问题.Iam研究Android安全工作的学生.我需要知道.apk文件重新打包是如何工作的,因为这是我的研究课题.此外,公开谈论逆向工程并不是恶意行为 - 书籍是关于逆向工程的 - 使用逆向工程进行恶意攻击是恶意的:)