android软件安全与逆向分析重打包签名出错

网上大多文章讨论的Android中签名的两个工具：jarsign和signapk

这篇不讨论jarsign 主要是针对android软件安全与逆向分析书中第二章2.2.5节使用的signapk工具打包出错时另一种方案。

网上大多的文章都是使用signapk 在jre1.7环境下进行签名，甚至更老的jre环境下。

但signapk 在JRE1.8环境下运行会抛出异常，原因是sun.misc.* 是sun公司的私有package，之前的历史版本中含有该文件，目前已经被移除。将会报错如图：

BASE64Encoder缺失

这里介绍一个更加容易找到的签名工具:apksigner 

apksigner是Google提供的Android apk签名及验证的专用工具，位于Android SDK/build-tools/SDK版本/apksigner.bat 支持V1(Jar Signature) V2(Full APK Signature) 两种签名，而jarsigner是JDK提供的针对于jar包的通用签名工具，支持V1签名。

下面是v1、v2的区别：

V1签名:

来自JDK(jarsigner), 对zip压缩包的每个文件进行验证, 签名后还能对压缩包修改(移动/重新压缩文件)

对V1签名的apk/jar解压,在META-INF存放签名文件(MANIFEST.MF,CERT.SF,CERT.RSA),

其中MANIFEST.MF文件保存所有文件的SHA1指纹(除了META-INF文件), 由此可知:V1签名是对压缩包中单个文件签名验证

V2签名:

来自Google(apksigner), 对zip压缩包的整个文件验证, 签名后不能修改压缩包(包括zipalign),

对V2签名的apk解压,没有发现签名文件,重新压缩后V2签名就失效, 由此可知:V2签名是对整个APK签名验证

V2签名优点很明显:

        签名更安全(不能修改压缩包)

        签名验证时间更短(不需要解压验证),因而安装速度加快

关于签名密钥生成这里略去不表，除了在android studio中生成，也可以使用keytool去创建，我这里使用Debug时使用的默认密钥 debug.keystore 

默认在C:\Users\用户名\.android\debug.keystore

    密钥库名:  debug.keystore

    密钥别名:  androiddebugkey

    密钥库密码: android

进入Android SDK/build-tools/SDK版本, 输入命令，这里选择的是28.0.3当前的最新版，应该来说不要低于Android7.0（API24）都会有这个工具。

这里方便起见把debug.keystore和目标apk 都拷贝到同路径下输入以下指令：

apksigner签名指令

输入对应key的密码，运行完成后，原来的应用会被覆盖，大小会发生改变，即签名完成。

apksigner使用起来较简单，主要是一下几个参数，并且，默认情况下V1,V2签名都是打开的。

参数:

        --ks-key-alias密钥别名,若密钥库有一个密钥对,则可省略,反之必选

        --v1-signing-enabled 是否开启V1签名,默认开启

        --v2-signing-enabled 是否开启V2签名,默认开启

到此重打包、签名完成，装上apk即可看到效果。

二次签名运行成功

本文主要是对该书中第二节使用signapk签名出错情况下的一种更新的方案。鉴于这本书距离第一次出版已经过去很久，也算是对本书的一点点贡献。