从这个来源试试这个:https://www.airpair.com/android/posts/adding-tampering-detection-to-your-android-app:
2 在运行时验证应用的签名证书
先决条件:Android 开发者博客上有一篇很棒的文章,介绍了如何为您的应用签名。我建议先阅读这篇文章,因为这种技术依赖于这些知识。
简而言之,开发人员必须使用他们的私钥/证书(包含在 .keystore 文件中)对应用程序进行签名,然后才能将应用程序安装到用户设备上。签名证书必须在应用的整个生命周期内保持一致,并且通常在未来 25 年内到期。
Android 系统在处理应用升级时依赖开发者签名证书的一致性。例如,虽然我可以创建一个应用程序 ID 与 Facebook 相同的应用程序,但我无法欺骗用户升级到我的版本,因为它没有使用 Facebook 的证书签名。作为开发人员,我们必须将此证书保密,否则我们会冒其他人能够像我们一样签署应用程序的风险。
提示:将您的私钥(.keystore 文件)置于源代码控制之外,并保存在单独保护和备份的系统中。
如果 .apk 以任何方式被更改,应用签名将被破坏 - 通常无法安装未签名的应用。例如,我们可以想象攻击者删除许可证检查代码以启用完整的应用程序功能而无需付费。一个更危险的例子是更改 .apk 以在合法应用程序中包含恶意软件以获取敏感的用户数据。为了安装更改后的 .apk,攻击者必须将其退出。
此技术详细说明了如何确保您的 .apk 已使用您的开发人员证书进行签名,并利用了证书保持一致且只有您可以访问它的事实。
我们可以将这项技术分解为 3 个简单的步骤:
找到您的开发者证书签名。
将您的签名嵌入到应用程序的字符串常量中。
检查运行时的签名是否与我们嵌入的开发人员签名匹配。
private static final int VALID = 0;
private static final int INVALID = 1;
public static int checkAppSignature(Context context) {
try {
PackageInfo packageInfo = context.getPackageManager()
.getPackageInfo(context.getPackageName(),
PackageManager.GET_SIGNATURES);
for (Signature signature : packageInfo.signatures) {
byte[] signatureBytes = signature.toByteArray();
MessageDigest md = MessageDigest.getInstance("SHA");
md.update(signature.toByteArray());
final String currentSignature = Base64.encodeToString(md.digest(), Base64.DEFAULT);
Log.d("REMOVE_ME", "Include this string as a value for SIGNATURE:" + currentSignature);
//compare signatures
if (SIGNATURE.equals(currentSignature)){
return VALID;
};
}
} catch (Exception e) {
//assumes an issue in checking signature., but we let the caller decide on what to do.
}
return INVALID;
}
首先,我们需要找到我们证书的签名,以便我们可以将其嵌入到应用程序中。我已经包含了一行来计算并将其记录到系统日志中——不用说,一旦你有了副本,就应该删除它。
检查您的 logcat 输出中是否有类似以下的消息:
10-10 17:37:11.483: D/REMOVE_ME:(111): 478yYkKAQF+KST8y4ATKvHkYibo=
记下编码的签名并替换静态常量SIGNATURE的值:
private static final String SIGNATURE = "478yYkKAQF+KST8y4ATKvHkYibo=";
在运行时,PackageManager 允许我们查询应用程序的签名。我们遍历这个签名数组并将其与我们的签名进行比较。
现在,当您在应用上运行 checkAppSignature 时(使用发布开发者证书进行签名),您应该会看到它返回 0,即有效。这种硬编码的签名是 DexGuard 字符串加密的理想候选者。
或者,您可以计算签名。如果有超过 1 个 -> 中止:
public final String checkSignature()
{
Log.i(TAG, "executeSignatureCheck()");
Signature[] sigs;
try
{
sigs = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES).signatures;
}
catch (PackageManager.NameNotFoundException e)
{
throw new RuntimeException("PackageManager name not found.");
}
String signature = null;
int sigCount = 0;
for (Signature sig : sigs)
{
signature = getSHA1(sig.toByteArray());
Log.i(TAG, "Signature: " + signature);
sigCount++;
}
if (sigCount > 1)
{
throw new RuntimeException("Invalid signature.");
}
return signature;
}
您还应该考虑检查该应用是否是从 Google Play 下载的。 (请参阅:我发布的链接中的“验证安装程序”)。
但不幸的是,您不能确定这适用于每台设备。我部署了这样的检查并在 Google Play 中发布到 Alpha,但 9 台设备中有 2 台没有返回字符串。我无法弄清楚,如果 Google Play 商店坏了,或者设备真的没有返回任何这些字符串。 (在这里查看我的问题:Is it possible that getInstallerPackageName() is null when app downloaded from Google Play Store?)