Android5.1.1 - APK签名校验分析和修改源码绕过签名校验
vb333969
8年前
<h2><strong>APK签名校验分析</strong></h2> <p>找到PackageParser类,该类在文件 “frameworks/base/core/java/android/content/pm/PackageParser.java” 中。PackageParser类的collectCertificates方法会对APK进行签名校验,在该方法会遍历APK中的所有文件,并对每个文件进行校验。下面是该方法的部分源码:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/0e1047787244cc31c79ca24d28094102.jpg"></p> <p>APK是一个ZIP格式的文件所以使用ZIP相关的类进行读写。上面代码中调用了loadCertificates方法,这个方法返回一个二维数组,如果APK中的文件签名校验失败那么loadCertificates方法会返回一个空数组(可能是null,可能是数组长度为0),按照上面代码的逻辑如果数组为空则会抛出异常。</p> <p>loadCertificates方法的代码见下:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/1008a0396ad20e4ca4098e70830ae1db.jpg"></p> <p>上面代码中is是JarFile.JarFileInputStream类的对象。loadCertificates方法中调用了readFullyIgnoringContents方法,在readFullyIgnoringContents方法中会调用JarFile.JarFileInputStream.read方法读取APK中一项的数据,在read方法中会校验读取到的数据项的签名,如果签名校验失败,则会抛出SecurityException类型的异常,即签名校验失败。</p> <p>JarFile类在 “libcore/luni/src/main/java/java/util/jar/JarFile.java” 文件中。</p> <p>上面代码中调用了StrictJarFile.getCertificateChains方法,下面是它的代码:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/7d532c739402bdb1c3f1ee72e6e16d31.jpg"></p> <p>上面代码中isSigned的值是这么来的:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/3b00cfecf21bdf912eabd8ae24d94e66.jpg"></p> <p>当证书读取成功,并且当前APK经过了签名,则isSigned为true。</p> <p>回到StrictJarFile.getCertificateChains方法中,当isSigned为true时会调用JarVerifier.getCertificateChains方法,下面是它的代码:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/b1fa69ffcc6dbec1b310e1b12e150652.jpg"></p> <p>下面是类成员变量verifiedEntries的声明:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/a82685d00f94b848a5013843bd2d118f.jpg"></p> <p>verifiedEntries是一个键值对,键是APK中经过了签名的文件名,如:classes.dex文件,值是证书数组。如果向已经签过名的APK中新添加一个文件然后安装这个APK,当程序逻辑执行到JarVerifier.getCertificateChains方法中时,在verifiedEntries变量中无法找到新添加的文件名(因为这个新文件是在APK签名之后添加),那么JarVerifier.getCertificateChains方法将返回null。</p> <h2><strong>绕过签名校验</strong></h2> <h3><strong>源码修改点一</strong></h3> <p>找到PackageParser.loadCertificates方法,下面是部分源码:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/f7a6181c665562f2866f73401ed0a350.jpg"></p> <p>将上面代码catch块中的throw语句替换为:return null;</p> <p>下面是修改后的代码:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/b0f14de93446441b7366f9679b60d63a.jpg"></p> <p>代码修改完后,当APK中文件签名校验失败时不会抛出异常,APK还会继续安装。</p> <h3><strong>源码修改点二</strong></h3> <p>找到PackageParser.collectCertificates方法,找到代码中调用loadCertificates方法的地方:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/2af20a6473a2822458f970f8a5c30ad5.jpg"></p> <p>将上面的throw语句替换为:continue;</p> <p>修改后的代码:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/bab9b8c039256ef0ac51fdeea87212b5.jpg"></p> <p>代码修改完后,当遇到APK中没有经过签名的文件时不会抛出异常,APK还会继续安装。</p> <p>来自:http://jaq.alibaba.com/community/art/show?articleid=443</p> <p> </p>