android程序中证书签名校验的方法

android程序中证书签名校验的方法一 

2013-02-26 09:56:22|  分类： android逆向技巧 |举报 |字号 订阅
(1)、将证书进行base64编码，并将编码后的字符串保存在程序中；
(2)、将证书签名（MD5或SHA1值）进行对称算法加密（比如：DES），然后将加密后的结果和对称算法密钥放在一起，再使用证书的private key 对其加密，将加密后的结果保存在一个xxx.conf文件中；
(3)、客户端启动时，通过解码(1)中的字符串得到证书的公钥，然后使用公钥解码xxx.conf文件，得到对称算法的key；然后使用key去解码被加密的签名字符串；
(4)、客户端通过运行时环境，获取到安装包的证书签名，并与配置文件中的比较，相等则为合法签名，否则安装包已经使用了其它非法的证书进行了签名。

注意：
复杂一些程序会在JAVA层和SO库中同时进行签名验证，并且在SO中多个关键函数中进行签名认证。要想正真过掉这些签名检测，必须将所有这些检测点都找出来。