APK簽名校驗分析
找到PackageParser類,該類在文件 “frameworks/base/core/java/android/content/pm/PackageParser.java” 中。PackageParser類的collectCertificates方法會對APK進行簽名校驗,在該方法會遍歷APK中的所有文件,並對每個文件進行校驗。下面是該方法的部分源碼:
APK是一個ZIP格式的文件所以使用ZIP相關的類進行讀寫。上面代碼中調用了loadCertificates方法,這個方法返回一個二維數組,如果APK中的文件簽名校驗失敗那麼loadCertificates方法會返回一個空數組(可能是null,可能是數組長度爲0),按照上面代碼的邏輯如果數組爲空則會拋出異常。
loadCertificates方法的代碼見下:
上面代碼中is是JarFile.JarFileInputStream類的對象。loadCertificates方法中調用了readFullyIgnoringContents方法,在readFullyIgnoringContents方法中會調用JarFile.JarFileInputStream.read方法讀取APK中一項的數據,在read方法中會校驗讀取到的數據項的簽名,如果簽名校驗失敗,則會拋出SecurityException類型的異常,即簽名校驗失敗。
JarFile類在 “libcore/luni/src/main/java/java/util/jar/JarFile.java” 文件中。
上面代碼中調用了StrictJarFile.getCertificateChains方法,下面是它的代碼:
上面代碼中isSigned的值是這麼來的:
當證書讀取成功,並且當前APK經過了簽名,則isSigned爲true。
回到StrictJarFile.getCertificateChains方法中,當isSigned爲true時會調用JarVerifier.getCertificateChains方法,下面是它的代碼:
下面是類成員變量verifiedEntries的聲明:
verifiedEntries是一個鍵值對,鍵是APK中經過了簽名的文件名,如:classes.dex文件,值是證書數組。如果向已經簽過名的APK中新添加一個文件然後安裝這個APK,當程序邏輯執行到JarVerifier.getCertificateChains方法中時,在verifiedEntries變量中無法找到新添加的文件名(因爲這個新文件是在APK簽名之後添加),那麼JarVerifier.getCertificateChains方法將返回null。
繞過簽名校驗
源碼修改點一
找到PackageParser.loadCertificates方法,下面是部分源碼:
將上面代碼catch塊中的throw語句替換爲:return null;
下面是修改後的代碼:
代碼修改完後,當APK中文件簽名校驗失敗時不會拋出異常,APK還會繼續安裝。
源碼修改點二
找到PackageParser.collectCertificates方法,找到代碼中調用loadCertificates方法的地方:
將上面的throw語句替換爲:continue;
修改後的代碼:
代碼修改完後,當遇到APK中沒有經過簽名的文件時不會拋出異常,APK還會繼續安裝。