这种Java层签名验证怎么过?
这个应用的签名验证方法我没见过,但是可以肯定是在Java层实现的,发现这个不是常规的getpackageinfo,而是X509Certificate,不知道怎么去绕过这个东西,然后发现安装包有一个trust-cert.raw,也不知道这个东西有什么用,现在就是这个app改完签名一打开就跳了一大堆Web view,然后就是提示你下的盗版什么的。这个验证怎么过呢?
我去查打开的链接是无结果,估计不是明文。
這種搜索關鍵字很多時候只能説是有用,但是一旦采用反射就會失效,但是你用MT都沒有過的了,就説明作者并不是采用常規的方式來識別這些程序的簽名。想要完全知道,你首先的看誰調用了這個inter從而發起webview的代碼,建議打印堆棧,然後查看代碼,是通過什麽觸發的這個。順藤摸瓜看下去,那麽你就可以知道是怎麽識別的了,最終就可以過掉這個籤名驗證。 小骚 发表于 2019-8-29 05:53
在java代码里面看有没有调用,而不是直接去so里面找
搜索了Signature和getpackageinfo,包括我上面提到的X509,没有发现native的函数调用,而且Lib的函数表里头也没有对应函数。 java层的话随便用个去签名校验的工具就行了 包发下,签名验证吗 小骚 发表于 2019-8-28 18:12
java层的话随便用个去签名校验的工具就行了
不行,kstool和Mt管理器都用了,压根没用 回不去的时光 发表于 2019-8-28 18:12
包发下,签名验证吗
https://www.lanzouj.com/i5unyvi
是的,是签名验证 SheepChef 发表于 2019-8-28 18:22
不行,kstool和Mt管理器都用了,压根没用
那就不止java层签名校验,你是怎么确定是java层的?没有调用so吗?纯纯写作看着眼熟,没时间弄 小骚 发表于 2019-8-28 19:19
那就不止java层签名校验,你是怎么确定是java层的?没有调用so吗?纯纯写作看着眼熟,没时间弄
我去看看lib,谢谢你关注我的问题😀 小骚 发表于 2019-8-28 19:19
那就不止java层签名校验,你是怎么确定是java层的?没有调用so吗?纯纯写作看着眼熟,没时间弄
看了Lib,没找到验证函数,不是native层的。 SheepChef 发表于 2019-8-29 01:20
看了Lib,没找到验证函数,不是native层的。
在java代码里面看有没有调用,而不是直接去so里面找
页:
[1]
2