Android系统的开放性和免费性等特征让开发者和用户趋之若鹜，用户也渐渐习惯了Android应用的这种免费午餐，但在免费的背后却有着巨大的安全阴影。 “Android APP二次打包”则是盗版正规Android APP，破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序，它会在不知不觉中浪费手机电量、流量，恶意扣费、偷窥隐私等等行为。 面对二次打包不少公司都有自己的防范措施，知名公司的APP几乎都是自己在程序内部做过处理防止其APP被二次打包，一旦打包后重新运行则程序自动退出。接下来，我就来详解一下如何防止APP被二次打包。 要实现代码内部防止APP被二次打包首先得了解APK的机器识别原理，APK的唯一识别是依靠包名和签名来做鉴定的，类似豌豆夹的洗白白、360手机卫士等安全软件对APK的山寨识别，他们就是依赖包名来确定APK然后通过签名来确定其是否山寨。所以说自己的程序内部在启动的时候可以通过获取APK本身的签名然后和正确的签名做对比来识别自己是否被二次打包。

	public String getSignInfo() {
		try {
			PackageInfo info = getPackageManager().getPackageInfo(
					getPackageName(), PackageManager.GET_SIGNATURES);
			Signature signatures = info.signatures[0];
			byte[] signByte = signatures.toByteArray();
			CertificateFactory factory = CertificateFactory
					.getInstance("X.509");
			X509Certificate cert = (X509Certificate) factory
					.generateCertificate(new ByteArrayInputStream(signByte));
			byte[] bs = cert.getEncoded();
			String sign = new String(bs,"UTF-8");
			System.out.println(sign);
			return sign;
		} catch (NameNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (CertificateException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (UnsupportedEncodingException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		return null;
	}

通过对签名的码的分解得到一串20左右的字符串，此字符串则是APK的签名的MD5值，通过获取的签名MD5值与正确的MD5值进行对比，就可以识别其APK是否被盗版。

本文链接:https://it72.com/774.htm