寫在前面

進(jìn)行apk校驗(yàn)有一種方法是獲取apk的md5值，然后再?gòu)姆?wù)端獲取md5與之比較，如果md5值相同就是安全的。不知各位朋友有沒想過(guò)在服務(wù)端獲取md5這過(guò)程中有可能被人截取篡改呢？所以最好的解決方法是在本地進(jìn)行自校驗(yàn)。這篇文章將談?wù)劚镜刈孕ｒ?yàn)方面的知識(shí)和方法，實(shí)現(xiàn)在未安裝apk之前得知apk是否被修改。多謝各位閱讀^_

正文

在介紹apk自校驗(yàn)之前，要先對(duì)apk的簽名文件有個(gè)了解，也就是META-INF文件的下面三個(gè)文件

apk簽名文件

下面簡(jiǎn)單介紹這三個(gè)文件的作用

1. MANIFEST.MF
   保存了apk所有文件的摘要信息，其中摘要信息是經(jīng)過(guò)SHA-1加密，然后再進(jìn)行Base64加密所得。

2. CERT.SF
   保存了對(duì)MANIFEST.MF文件再進(jìn)行一次SHA-1并Base64加密的信息，并同時(shí)保存了MANIFEST.MF文件的摘要信息。

3. CERT.RSA
   保存了公鑰和所采用的加密算法等信息。

好了，了解了apk的簽名文件后，就可以進(jìn)行apk自校驗(yàn)的分析了，主要用到MANIFEST.MF里的信息，思路如下：

1. 讀取apk的所有文件
2. 讀取MANIFEST.MF里的摘要信息
3. 對(duì)apk的所有文件重新進(jìn)行SHA-1并Base64的加密，得到每個(gè)文件的摘要信息
4. 用第2步和第3步得到的信息作比較，如果全部相同代表apk沒有被修改，否則被修改了
5. 校驗(yàn)apk的簽名文件

好了，思路非常清晰了，下面我們來(lái)一步步來(lái)實(shí)現(xiàn)：

1. 讀取apk的所有文件

讀取apk文件，并用集合保存所有文件的輸入流。代碼如下：

    private static Map<String, InputStream> getInputStream(ZipFile zipFile) throws IOException {
        if(zipFile == null) {
            return null;
        }
        
        Map<String, InputStream> fileMap = new HashMap<String, InputStream>();
        Enumeration<? extends ZipEntry> files = zipFile.entries();
        while(files.hasMoreElements()) {
            ZipEntry entry = files.nextElement();
            String entryName = entry.getName();
            fileMap.put(entryName, zipFile.getInputStream(entry));
        }
        
        return fileMap;
    }

2. 讀取MANIFEST.MF里的摘要信息

文件里的保存摘要信息的格式如下：

Name: res/drawable-xxhdpi-v4/ic_launcher.png // 文件名
SHA1-Digest: GVIfdEOBv4gEny2T1jDhGGsZOBo=  // 文件的摘要信息

此處有個(gè)坑，就是文件名不一定只占一行，所以要處理好。代碼如下：

    String manifestFileName = "META-INF/MANIFEST.MF";
        InputStream in = fileMap.get(manifestFileName);
        if(in == null) {
            throw new FileNotFoundException("can not found file: " + manifestFileName);
        }
        BufferedReader br = new BufferedReader(new InputStreamReader(in));
        HashMap<String, String> verityMap = new HashMap<String, String>();
        String line = null;
        while((line = br.readLine()) != null) {
            if(line.startsWith("Name")) {
                String filename = line.substring(line.indexOf(':') + 2); 
                line = br.readLine();
                if(!line.startsWith("SHA1-Digest")) { // 文件名不一定只占一行
                    filename = replaceBlank(filename);
                    line = replaceBlank(line);
                    filename += line;
                    line = br.readLine();
                }
                String digest = line.substring(line.indexOf(':') + 2);
                verityMap.put(filename, digest);
            }
        }
        br.close();
        in.close();

3. 對(duì)apk的所有文件進(jìn)行SHA-1并Base64的加密

    /**
     * 獲取SHA1值
     */
    private static byte[] getSha1(InputStream in) {
        if(in == null) {
            return null;
        }
        MessageDigest md = null;
        try {
            md = MessageDigest.getInstance("SHA1");
            byte[] buffer = new byte[4096];
            int len;
            while((len = in.read(buffer)) > 0) {
                md.update(buffer, 0, len);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if(in != null) {
                try {
                    in.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        
        return md.digest();
    }
    
    /**
     * 獲取經(jīng)過(guò)SHA1和Base64加密的文件摘要信息
     */
    private static String getShaDigest(InputStream in) {
        byte[] sha1 = getSha1(in);
        byte[] base64 = Base64.encode(sha1, Base64.NO_WRAP);
        try {
            return new String(base64, "ASCII"); // 必須用ASCII格式才會(huì)有正確的結(jié)果
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        
        return null;
    }

4. 用第2步和第3步得到的信息作比較

    for(String filename : verityMap.keySet()) {     
        InputStream input = fileMap.get(filename);
    if(input == null) {
        throw new FileNotFoundException("can not found file: " + filename);
    }
    String digest = getShaDigest(input);
    if(!checkDigest(verityMap.get(filename), digest)) {
        return false;
    }
    input.close();
}

5. 校驗(yàn)apk的簽名文件

大家有沒注意到，MANIFEST.MF文件中并沒有保存簽名文件的摘要信息，所以還需要對(duì)簽名文件進(jìn)行驗(yàn)證。而我發(fā)現(xiàn)，如果簽名文件如果被修改過(guò)，獲取apk簽名信息時(shí)會(huì)返回null！

    /**
     * 獲取apk文件的簽名
     */
    public static Signature[] getSignaturesByApkFile(Context context, String apkFilePath) {
        if(apkFilePath == null || apkFilePath.length() == 0) {
            return null;
        }
        
        PackageManager pm = context.getPackageManager();
        PackageInfo pkgInfo = pm.getPackageArchiveInfo(apkFilePath, PackageManager.GET_SIGNATURES);
        if(pkgInfo != null) {
            return pkgInfo.signatures;
        }
        
        return null;
    }

結(jié)尾

該方法顯然是可行的，但效率并不理想，我試過(guò)校驗(yàn)50多M的微博apk，花了12秒，再大一點(diǎn)的，就更糟糕了，但我使用的場(chǎng)景是小apk的，時(shí)間幾乎是毫秒級(jí)的，所以可以使用。如果各位朋友有更好的方法，請(qǐng)告知~

好了，上面的是我個(gè)人的理解，難免有錯(cuò)。若有錯(cuò)，歡迎指正。

如果這篇文章對(duì)你有幫助的話，不妨點(diǎn)個(gè)喜歡唄~

源碼下載