零、前言
本文以支付宝手机客户端为例,进行剖析
到支付宝官网下载当前最新版本:8.0.1 (2014-01-28)
文件名为 alipay_wap_main.apk
MD5 摘要为 69820edb3cd13b49ef4e1fb3175ec453
将后缀改为.zip,直接解压,可以看到目录 META-INF,其中包含三个文件 MANIFEST.MF、CERT.SF、CERT.RSA
下面就是这三个文件的生成过程

一、文件 MANIFEST.MF
首先列出签名前 APK 中的文件清单,脚本内容如下

 use Cwd;

 use File::Find;

 $pwd = getcwd();

 sub printFilename{

   if ( (! -d $File::Find::name) && ($File::Find::name =~ /$pwd/) ){

     print qq/$\n/ if($File::Find::name =~ /$pwd\/(.*)/)

   }

 };

 find(\&printFilename, $pwd);

运行上面脚本,利用得到的文件清单构造以下内容(见星号包围部分,Name 所在行是清单中的文件名称)
*****************************************************
Manifest-Version: 1.0
Created-By: 1.0 (Android)

Name: res/drawable/credit_main_list_selector.xml
SHA1-Digest: BQFbkZbuQuxWLBuQIsQJCccH26c=

Name: res/drawable-hdpi/kakalib_poweredby.png
SHA1-Digest: Zd5BTNYWcJ3rs2xDsk1LnWeNl9c=
……
*****************************************************
上面的 Name/SHA1-Digest 对中,SHA1-Digest 后跟的内容是由 Name 对应文件先 SHA-1、再 BASE64 运算后得到
以文件 res/drawable/credit_main_list_selector.xml 为例,验证如下
openssl dgst -binary -sha1 credit_main_list_selector.xml > credit_main_list_selector.xml.sha1
openssl base64 -in credit_main_list_selector.xml.sha1
BQFbkZbuQuxWLBuQIsQJCccH26c=

按此规则反复计算每一文件的 SHA1-Digest 值,最后得到 MANIFEST.MF 文件

二、按如下格式构造文件 CERT.SF
*****************************************************
Signature-Version: 1.0
Created-By: 1.0 (Android)
SHA1-Digest-Manifest: 6z2GEaKqXuWgJi1BkX4iWfnRJaM=

Name: res/drawable/credit_main_list_selector.xml
SHA1-Digest: pL/8COLxHW1z8q8vyeMatFKBuyw=

Name: res/drawable-hdpi/kakalib_poweredby.png
SHA1-Digest: SeuGMeYM2Sqin7lzVAFGlhdpaGY=
……
*****************************************************
其中,SHA1-Digest-Manifest 后面的红色文字部分是 MANIFEST.MF 文件先 SHA-1、再 BASE64 处理后的结果
openssl dgst -binary -sha1 MANIFEST.MF > MANIFEST.MF.sha1
openssl base64 -in MANIFEST.MF.sha1
6z2GEaKqXuWgJi1BkX4iWfnRJaM=

SHA1-Digest 后跟的内容是由 MANIFEST.MF 文件中对应的部分 先SHA-1、再 BASE64 处理后的结果
以文件 res/drawable/credit_main_list_selector.xml 为例,该文件在 MANIFEST.MF 中对应的部分为
*****************************************************
Name: res/drawable/credit_main_list_selector.xml
SHA1-Digest: BQFbkZbuQuxWLBuQIsQJCccH26c=

*****************************************************
注意,最后有两个回车换行,将星号包围的内容保存成文件 credit_main_list_selector.manifest
od -An -tx1z credit_main_list_selector.manifest
4e 61 6d 65 3a 20 72 65 73 2f 64 72 61 77 61 62  >Name: res/drawab<
6c 65 2f 63 72 65 64 69 74 5f 6d 61 69 6e 5f 6c  >le/credit_main_l<
69 73 74 5f 73 65 6c 65 63 74 6f 72 2e 78 6d 6c  >ist_selector.xml<
0d 0a 53 48 41 31 2d 44 69 67 65 73 74 3a 20 42  >..SHA1-Digest: B<
51 46 62 6b 5a 62 75 51 75 78 57 4c 42 75 51 49  >QFbkZbuQuxWLBuQI<
73 51 4a 43 63 63 48 32 36 63 3d 0d 0a 0d 0a     >sQJCccH26c=....<

openssl dgst -binary -sha1 credit_main_list_selector.manifest > credit_main_list_selector.manifest.sha1
openssl base64 -in credit_main_list_selector.manifest.sha1
pL/8COLxHW1z8q8vyeMatFKBuyw=

三、生成 CERT.SF 文件的签名,将签名结果及对应证书,以 PKCS #7 格式保存到 CERT.RSA 文件
PKCS #7 标准参见 RFC 2315,此处不再详述,而仅关注其中相关的签名及证书内容
openssl asn1parse -in CERT.RSA -inform DER -i -dump
输出的最后部分就是签名数据,如下
791:d=5 hl=3 l= 128 prim: OCTET STRING
0000 - 5b 3c f1 f7 7a 5f 3f c8-9e 1b e3 80 09 c8 b3 8a [<..z_?.........
0010 - 47 a7 11 04 c8 91 0f 4c-b9 a2 25 9c 4b f1 9a a3 G......L..%.K...
0020 - 6c c1 1b 2a 84 b5 06 bc-82 90 73 da 7c 1d 97 e5 l..*......s.|...
0030 - 15 63 64 71 27 31 b7 b0-33 50 90 82 51 e9 23 65 .cdq'1..3P..Q.#e
0040 - 5c de f7 3d 29 12 14 f4-27 88 de fc c1 b0 a0 61 \..=)...'......a
0050 - 87 0d c7 a5 7c 5b 4c 7a-04 4f 25 29 35 8e 5b 42 ....|[Lz.O%)5.[B
0060 - 08 bf 1e 64 cb a2 69 16-35 b0 5d f1 32 2e c3 1a ...d..i.5.].2...
0070 - f8 cd 4b d3 29 1f 82 2a-9f 66 ea 4d b4 86 9f 69 ..K.)..*.f.M...i

CERT.RSA 文件中的证书内容可以用命令 openssl pkcs7 -in CERT.RSA -inform der -print_certs -text 查看
下面是显示的部分信息
Issuer: C=cn, ST=beijing, L=beijing, O=alipay, OU=alipay, CN=shiqun.shi
Subject: C=cn, ST=beijing, L=beijing, O=alipay, OU=alipay, CN=shiqun.shi
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:b6:cb:ad:6c:bd:5e:d0:d2:09:af:c6:9a:d3:b7:
a6:17:ef:aa:e9:b3:c4:7e:ab:e0:be:42:d9:24:93:
6f:a7:8c:80:01:b1:fd:74:b0:79:e5:ff:96:90:06:
1d:ac:fa:47:68:e9:81:a5:26:b9:ca:77:15:6c:a3:
62:51:cf:2f:90:6d:10:54:81:37:49:98:a7:e6:e6:
e1:8f:75:ca:98:b8:ed:2e:af:86:ff:40:2c:87:4c:
ca:0a:26:30:53:f2:22:37:85:82:06:86:7d:21:00:
20:da:a3:8c:48:b2:0c:c9:df:d8:2b:44:a5:1a:eb:
5d:b4:59:b2:27:94:e2:d6:49
Exponent: 65537 (0x10001)

这张自签名证书的主体名称(C=cn,ST=beijing,L=beijing,O=alipay,OU=alipay,CN=shiqun.shi)为员工名字,稍显不正规:)

最后,验证下签名的正确性,依旧祭出 perl 这个工具,计算如下
perl -Mbigint -e " $x=Math::BigInt->bmodpow(0x5b3cf1f77a5f3fc89e1be38009c8b38a47a71104c8910f4cb9a2259c4bf19aa36cc11b2a84b506bc
829073da7c1d97e5156364712731b7b03350908251e923655cdef73d291214f42788defcc1b0a061870dc7a57c5b4c7a044f2529358e5b4208bf1e64cba269
1635b05df1322ec31af8cd4bd3291f822a9f66ea4db4869f69, 0x010001, 0xb6cbad6cbd5ed0d209afc69ad3b7a617efaae9b3c47eabe0be42d924936fa7
8c8001b1fd74b079e5ff9690061dacfa4768e981a526b9ca77156ca36251cf2f906d105481374998a7e6e6e18f75ca98b8ed2eaf86ff402c874cca0a263053
f22237858206867d210020daa38c48b20cc9dfd82b44a51aeb5db459b22794e2d649);print $x->as_hex"
输出结果为
0x0001fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
003021300906052b0e03021a050004144677182bf20ad64f509dc7b519f7294c19075cc7

签名格式遵循的是 PKCS #1 标准,签名内容是 CERT.SF 文件,如下
openssl dgst -sha1 CERT.SF
SHA1(CERT.SF)= 4677182bf20ad64f509dc7b519f7294c19075cc7
验证成功

四、总流程图

APK签名是如何生成的的更多相关文章

  1. eclipse将android项目生成apk并且给apk签名

    转载:http://www.cnblogs.com/tianguook/archive/2012/09/27/2705724.html 生成apk最懒惰的方法是:只要你运行过android项目,到工作 ...

  2. (转)在eclipse中将android项目生成apk并且给apk签名

    转:http://www.cnblogs.com/tianguook/archive/2012/09/27/2705724.html 生成apk最懒惰的方法是:只要你运行过android项目,到工作目 ...

  3. 关于APK签名的一些东西

    什么是APK 了解APK签名之前,首先要知道什么是apk文件:APK是AndroidPackage的缩写,即Android安装包(apk),APK文件其实就是zip格式的文件,只是后缀被改为了apk, ...

  4. Android APK 签名 (转发)

    Cordova 3.5 为 Android APK 签名,生成可发布的 APK 程序文件  任侠  2014-06-07 00:04  移动开发  抢沙发  16,288 views  目录 [隐藏] ...

  5. apk签名(不打包)

    apk提交给应用市场加固后,需要重新签名 签名工具:360签名 下载地址:http://yunpan.cn/cm8GqVWL7Y8Eh 签名步骤:http://jiagu.360.cn/qcms/he ...

  6. 为App签名(为apk签名)

    为App签名(为apk签名) 原文地址 这篇文章是Android开发人员的必备知识,是我特别为大家整理和总结的,不求完美,但是有用. 1.签名的意义 为了保证每个应用程序开发商合法ID,防止部分开放商 ...

  7. Android开发中Ant命令编译和APK签名的一些心得

    本文章麦子学院跟小伙伴们详细的分享一下关于Android Ant命令行编译和APK签名详解一些实现方法,这是一个朋友在自己做安卓开发时写的,希望对大家会有所帮助呀. 最近在做Android开发时,需要 ...

  8. Android学习系列(1)--为App签名(为apk签名)

    写博客是一种快乐,前提是你有所写,与人分享,是另一种快乐,前提是你有舞台展示,博客园就是这样的舞台.这篇文章是android开发人员的必备知识,是我特别为大家整理和总结的,不求完美,但是有用. 1.签 ...

  9. apk签名《转》

    出处!:http://jeff-pluto-1874.iteye.com/blog/847366 我觉得写的不错就转载了. 一.Android Apk签名Apk签名首先要有一个keystore的签名用 ...

随机推荐

  1. 关于如何使用Identity的文献

    有几篇文件,深入浅出地讲解了如何一步一步的使用Identity,感觉十分有用,留下链接,备查. 1. Configuring Db Connection and Code-First Migratio ...

  2. m.Tomcat使用openssl走APR通道配置单向和双向认证

    引用自: http://blog.csdn.net/gtuu0123/article/details/5827800(Tomcat的SSL单向认证)  http://blog.csdn.net/gtu ...

  3. 使用Memcache缓存mysql数据库操作的原理和缓存过程浅析

    转载自脚本之家 http://www.jb51.net/article/51831.htm  作者:忙碌的松鼠 对于大型网站如facebook,ebay等网站,如果没有Memcache做为中间缓存层, ...

  4. 把本地仓库工程上传到github上和从gitbu同步工程到本地

    1.在本地产生秘钥和公钥 [root@jacky git_project]# ssh-keygen -t rsa -C "jacky-lulu@1073740572@qq.com" ...

  5. poj2965 The Pilots Brothers' refrigerator

    题目链接:http://poj.org/problem?id=2965 分析:1.这道题和之前做的poj1753题目差不多,常规思路也差不多,但是除了要输出最少步数外,还要输出路径.做这道题的时候在怎 ...

  6. activitygroup下的activity不回调onactivityresult的解决方法

    就是activitygroup下的子activity启动第三方activity的时候需要通过getparent的startactivityforresult方法来启动.getparent其实就是这个a ...

  7. it转行了

    国庆节后毅然的辞职了,辞职的还发生一些不愉快的事情,原来希望好去好来却不慌而散.接着便开始找工作,有过工作经验,找工作是容易些,不像刚毕业那会什么企业都没人要.因为实在是对it没感觉,所以找的都是销售 ...

  8. python 汇总

    TypeError: ReadExcelList() takes exactly 1 argument (2 given) 传入的参数有问题

  9. 一个会Flash的人来说CSS3

    以前在上大学的时候学过Flash,而且以前做一些网页效果都是用的Flash,现在才知道以前我所用的方法是有多麻烦.在学过CSS3之后,我发现以前要用Flash写半天的效果,现在用几句CSS3代码就搞定 ...

  10. 14071702(SkeletalControl_Limb)

    [目标] SkeletalControl_Limb [思路] HumanIK的15 个节点 CCDIK [步骤] 1 先编译[!BuildAll] [注]先把SYSTEM文件夹该为非只读属性,编译生成 ...