通过 ./gradlew assembleRelease 命令打包,此时的apk没有加固,不符合安全需要
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/131439.html原文链接:https://javaforall.cn
对于APP开发者而言,加固工作至关重要。没有经过加固防护的APP,黑产可以轻易将APP的源码通过逆向进行还原,然后重新打包、植入恶意代码甚至病毒,严重损害开发者甚至用户的利益。 寻找既安全又便捷的加固工具让许多APP开发者头疼不已。 一直关注APP开发者加固体验的腾讯云应用加固(乐固),近日全新升级了PC端加固工具,希望帮助开发者解决这些问题。新版本在继续提升安全性的同时,支持签名文件制作、一键连接专业版、网络代理设置等APP开发者关注的加固功能。除此之外,新版加固工具还对加固过程中的多个细节进行优化,全
使用腾讯云加固,下载后再次签名,签名成功之后的 apk 在华为鸿蒙、Android8 系统可以正常解析安装,在Android11 解析安装包失败
若第三方杀毒引擎提示您的应用存在安全风险,应用安全则会拒绝您的上传、同时拒绝对应用进行加固。一旦出现该情形,建议您检查应用中是否存在违规行为。若您将该应用发布出去,极大可能被渠道市场拒绝、无法在用户手机安装。对于此类应用,加固能否成功并非最核心要素,因为渠道分发、用户手机都会有类似的安全扫描,应用安全采信的第三方杀毒引擎也极有可能被各分发市场、用户手机上安装的安全软件采信。该类应用正真的问题在于,很难发布到正规市场、安装到用户手机上去,而非无法加固。
进入目录C:\Users\ad\.android下,执行:keytool -list -v -keystore debug.keystore,输入口令:android(默认密码)
java程序员每天不是在创建jar包就是在创建jar包的路上,并且各种依赖引用都是以jar包的形式展示的。但是随着现代IDE的出现,我想很多程序员已经基本上很少直接和jar包打交道了。
最近在调研一个测试工具的使用,在使用中发现被测试工具处理过的apk文件经安装后打开就会崩溃,分析崩溃日志后原因是签名不一致导致的。
可能一看标题你不知道是什么意思,我这里解释一下什么是空包签名,为什么要空包签名。那是一个风和日丽的早晨,我愉快地敲着代码,于是项目总监告诉有一个老项目维护,给了我源代码,在我修复bug运行成功之后,说要上架到应用市场,我说要上那就上呗,简简单单。然后我发现事情并不是那么简单,平台上之前上架过此应用,那还是16、17年的事情,那时我还在学校呢。而且之前的平台开发者账号找不到了,也就是那之前平台上的应用是个孤儿。平台上有这个应用再想上架的话有两个方案,一、更改包名,应用名,然后上架。二、认领应用。方案一花费的时间太长,因为不仅仅是改一个包名那么简单,里面对接的第三方SDK因为这个包名改动,那么就都要改一次配置才行,周期太长,太繁琐。于是走方案二,就有了本文。
公司的项目有安全合规方面的需求,上线前要经过安全架构师进行安全测试,安全测试通过才能上线,目前 APP 项目中涉及到的点整理如下
为人脸登录提供人脸注册集合,基于人脸进行无动作活体检测、及后台在线活体检测算法,判断用户为真人,保障业务环节中的用户真实性判断。
Ionic 是一款基于 Cordova 及 Angular 开发 Hybrid/Web APP 的前端框架,类似的其他框架有:Intel XDK等。
首先按照网上说的,直接在as的terminal中输入命令 keytool -list -v -keystore debug.keystore,你就会发现,报错,keytool既不是外部命令也不是内部命令
APK 文件签名 是为了保证 APK 来源真实性 , 以及 APK 文件没有被修改过 ;
我们下载到的Android App 安装包是 Apk文件(Android Application Package) 。通过 Apk 文件,我们也可以得到这个应用的代码和资源文件,对应用进行修改。
首先要注意一点,Android Studio中把proguard.txt已经命名为proguard-rules.pro,由此可见,採用Gradle打包,混淆规则文件的名称是不重要的。能够自己随便命名。
Swift是苹果于2014年WWDC(苹果开发者大会)发布的新开发语言,可与Objective-C共同运行于Mac OS和iOS平台,用于搭建基于苹果平台的应用程序。Swift是一款易学易用的编程语言,而且它还是第一套具有与脚本语言同样的表现力和趣味性的系统编程语言。Swift的设计以安全为出发点,以避免各种常见的编程错误类别。它快速,安全,现代,并且拥有支持该语言的庞大社区。Swift主要用于开发iOS和macOS应用程序,但从Swift 3开始,您也可以将它用于服务器端应用程序开发。
除了直接使用signapk.jar签名外,还可以将签名文件生成keystore文件,然后给apk进行签名。 定位到签名文件和apk目录,然后输入如下命令: 1.
最近使用IDA Pro查看一个x86的exe文件,发现为静态编译文件,其中包含大量的OpenSSL的库函数,于是上网搜索对应的签名文件,并没有找到该版本OpenSSL的库函数签名,便亲自做一个签名文件。
Error: A JNI error has occurred, please check your installation and try again Exception in thread “main” java.lang.SecurityException: Invalid signature file digest for Manifest main attributes
如果你在网上搜debug.keystore的位置,大部分文章都会告诉你在 C:\Users\XXX\.android 目录下,但我电脑的该目录下确实没有这个文件,放入同事的debug.keystore也不会生效。
* 本文原创作者:维一零,本文属FreeBuf原创奖励计划,未经许可禁止转载 在今年的黑帽大会上,国外的一个安全研究员展示了如何通过Windows的数字签名bypass对恶意程序代码的检测。 下载大会的该演讲的ppt大概看了一下,报告分为两部分,第一部分展示数字签名的的校验“漏洞”,第二部分展示该作者自己研究实现的一个pe程序加载器,用来配合第一部分的“漏洞“bypass杀毒软件对恶意程序的检测。 本文重点在于第一部分的这个数字签名校验”漏洞“,通过回顾分析数字签名的校验来阐述这个”漏洞“的原理。 数字签名
1、写一个.gradle配置文件 在Progject里面新建一个config.gradle文件,然后里面添加工程需要的配置。如图所示: 2、在Project的build.gradle里面添加配置 9B
在 Android Studio 中使用自带的签名文件生成工具 , 创建签名文件 ,
很多人写文章,喜欢把什么行业现状啊,研究现状啊什么的写了一大通,感觉好像在写毕业论文似的,我这不废话,先直接上几个图,感受一下。 第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧? 第二张图是微信运动步数作弊,6不6? ok,那我们从头说起…… 1.反编译 Android 的反编译,相信大家都应该有所了解,apktool、JEB 等工具。 我们先看一下 Apk 文件的结构吧,如下图: 1.META-INF:签名文件(这个是如何生成的后面会提到)。 2.r
原来apk是使用jks格式的签名文件来操作的,还有一种是keystore文件格式。我们先来看jks文件格式怎么操作
Robotium自动化测试介绍 活动时间:2016年9月29日 QQ群视频交流 活动介绍:TMQ在线沙龙第九期分享 本次分享的主题是Robotium自动化测试介绍。 想知道活动分享了啥吗?往下看吧! 活动嘉宾 嘉宾简介 陈航特,腾讯测试工程师,负责Android应用宝的UI功能自动化测试和接口自动化测试,有丰富的UI自动化实践经验,对Robotium有着较深入的研究,参与《腾讯Android自动化测试实战》编写。 分享主题 背景目的介绍 Robotium框架介绍 Robotium实践应用 问答
在项目开发时,如果需要使应用具有系统权限,例如可以支持静默安装和卸载APK,此时就需要使用系统签名。 常用的系统签名方式包括在ubuntu环境下、手动签名和在AndroidStudio环境配置,三种方式中,实现最简单的是通过AndroidStudo方式,该方式的签名实现与正常的APK签名相同,唯一不同的就是签名文件是通过系统生成的。 注意,无论采用何种签名方式,如果想实现具有系统权限的应用,在APK生成时,都需要在AndroidManifest.xml中配置android:sharedUserId=“android.uid.system”,如下所示
本博客用于记录下 360 加固保 加固应用流程 ; ( 上一次加固还是一年前 , 过程全忘了 o(╥﹏╥)o )
依旧喜欢eson. 来首背景音乐。另外星战8,1月6号首映,筒子们赶快带上女票提前买票吧!
软件变化请查看:更新日志 软件下载请转到:发布页面 或者到网盘下载(网盘内有MAC、windows版):https://www.lanzoui.com/b0bf2cfa/ 密码:glqw(若链接无法打开请百度:蓝奏云链接打不开) 使用常见问题请转至:常见问题 桌面版项目地址:https://github.com/lyswhut/lx-music-desktop
我们在做系统级的app开发时,往往会在AndroidManifest.xml文件中添加:android:sharedUserId=”android.uid.system”以获取系统级的权限,如果你正在使用Android Studio进行开发,编译生成的apk会因为签名问题无法安装。
生成系统签名,首先需要下面的两个系统签名文件: platform.pk8 platform.x509.pem 这两个文件可以从Android源码中获取,具体路径为: build/target/product/security/ 将上面的两个文件放到同一个文件夹,同时也将自己生成的签名文件放置在这个文件夹下,从gitHub上下载工具keytool-importkeypair 执行下面的命令就可以生成系统签名文件了。
前言 最近自己的react native app已经完成了,博主想将其打包成android apk运行在安卓端的手机上。然后遇到了一系列的问题。经过一段时间的踩坑,已经成功打包成apk文件并在手机端正常运行和显示。下面介绍一下react native打包成android apk的原理和步骤。 基本原理 react native程序在调试的时候,在虚拟机端是通过连接本地node服务来获取js文件,所以可以实现热加载。但是要打包成apk时,需要将这些js文件打包成bundle包,当做android的运行资源。放
您是不是经常给朋友发E-mail?如果每个邮件中都有一个精美的签名文件,文件中包括通讯地址、邮政编码以及电话、手机、QQ号码等联系方法,甚至可以包含简单的声音文件,并且每次在Outlook Express中新建邮件时,可以自动签名——岂不很美?我们就一起来制作这样一个签名文件。
之前一直有犹豫过要不要写这篇文章,毕竟去反编译人家的程序并不是什么值得骄傲的事情。不过单纯从技术角度上来讲,掌握反编译功能确实是一项非常有用的技能,可能平常不太会用得到,但是一旦真的需要用到的了,而你
为了在使用第三方SDK的时候避免自己手动多次打包,需要在build.gradle下配置点东西,以前只能在别人那copy,现在搞明白是怎么做的了。
Android为了保证系统及应用的安全性,在安装APK的时候需要校验包的完整性,同时,对于覆盖安装的场景还要校验新旧是否匹配,这两者都是通过Android签名机制来进行保证的,本文就简单看下Android的签名与校验原理,分一下几个部分分析下:
和尚是搞 Android 的,曾经尝试过打包 APK 文件失败,由于种种原因暂停研究,今天重新学习一下如何打包 APK 。官网讲解的清楚明了,和尚在此基础上整理一下打包过程中遇到的问题。
使用命令如下: apktool d -f [待反编译的apk] -o [反编译之后存放文件夹] 例如:
可以在腾讯云上申请免费证书,按照提示添加验证域名解析内容,然后下载,一般选择 Nginx 格式
JAR文件是基于ZIP文件格式的一种文件格式,用来将许多文件整合成一个文件。一个JAR文件本质上是包含可选目录META-INF的zip文件,可以通过命令行jar工具或者在Java平台上使用java.util.jar中的API来创建。JAR文件的命名没有严格的要求,可以是特定平台上的任意合法文件名称。
大家在开发安卓应用的时候,在调试阶段通常都是通过 run 的方式发布到模拟器或者真机上,我们知道 android 应用打包后的后缀名是 .apk 文件。.apk 文件是一种压缩包,类似 .zip 文件,我们可以通过强制更改它的后缀为 .zip 来解压 apk 获取包里的内容,以这种方式可以验证它其实就是一个压缩包。
在jks签名文件目录下打开cmd(按住Shift,点击鼠标右键),输入命令 :keytool -list -v -keystore xxx.jks,就可以在CMD命令窗口中看到签名文件的信息了,其中包括了SHA1值和MD5值。
实际上,现在Android开发IDE自带签名功能,但是有时我们还是可能遇到自己签名apk的场景的,比如你有一个未签名的apk,但是你要adb install到device上,这时我们在adb install之前就必须对该apk进行签名处理才能install成功,这篇文章就简单的介绍下apk签名流程吧。
发送者将原文件src.txt、公钥文件key.pub和签名文件src.sig传输给接收者,接收者模拟校验操作。
首先,绝大多数App在调试时使用的签名文件(debug keystore)和最终App发布使用的签名文件(自定义的keystore)是不同的,不同签名文件的SHA1值也是不同的。下面提供几种获取SHA1值的方式:
我们在开发过程中,用到很多三方sdk中申请一些key值都需要我们提供一个sha1值,例如 百度地图 高德地图。
对比《连城诀》,第一步是「唐诗选辑」(不过用口水解密不够文雅),第二部是「唐诗剑法」(没有师傅认证亲传武功是不行的),最后才解密出「江陵城南偏西天宁寺大殿佛像向之虔诚膜拜通灵祝告如来赐福往生极乐」。 当然也有类似凌退思这样“密码字典暴力破解”的方法 :-) 所以我们的 GPG 钥匙长度要设置的长长长一些。
领取专属 10元无门槛券
手把手带您无忧上云