在Android的apk包中含有一个叫做META-INF的文件夹，这个里边存储的是关于签名的一些信息。

其中将apk包解压出来，进入META-INF目录，发现会有3个文件：CERT.RSA，CERT.SF，MANIFEST.MF。

用记事本打开MANIFEST.MF文件，这是个可读的文本文件，大约内容如下：

Manifest-Version: 1.0Created-By: 1.0 (Android)Name: res/drawable-hdpi/shop_search_bg.pngSHA1-Digest: OgQ5gmKTFoxuZWAaKBBJKl1Oy24=Name: res/drawable/merchant_btn_selector.xmlSHA1-Digest: AkxLT25+wtnL6DCN10rcSTpz6kM=

版本号以及对每一个文件的哈希值（BASE64）。包括资源文件。这个是对每个文件的整体进行 SHA1hash

然后是CERT.SF文件，用记事本打开，内容如下：

Signature-Version: 1.0Created-By: 1.0 (Android)SHA1-Digest-Manifest: I2tqVFgbG+PZh6o8SWuDePSrTcQ=Name: res/drawable-hdpi/shop_search_bg.pngSHA1-Digest: twMIUeZAdwmMBjIDlo/5EiSFWj0=Name: res/drawable/merchant_btn_selector.xmlSHA1-Digest: GJqtJ+iUO4Xrjgzri8nzR+GDLVU=

看到跟manifest.mf中的很类似，也是BASE64编码的哈希值，这个是对每个文件的头3行进行 SHA1hash。

这两个文件中的内容仅仅是个摘要，也就是仅仅对文件做个hash。

最后一个文件是CERT.RSA，这个文件中放的是apk包的签名，同时还有证书的公钥。

一般来说，证书的内容是：开发者信息+开发者公钥 +CA的签名（ CA对前两部分做hash值然后私钥加密之后的密文）

验证过程是：用CA公钥对括号里的内容解密，然后对前两部分hash，跟CA的签名进行对比，看是否相同。

暂时不知道Android中既然已经有了对整个文件的摘要，为什么还要弄个前3行的摘要。

猜想：

cert.rsa这个文件中应该存放的是开发者信息+开发者公钥+开发者签名【自己就是CA】（对前两部分的hash用自己私钥做加密），

解密过程应该是：首先提取自己公钥，然后对自己加密的那部分解密，然后对前2部分做hash进行比对，模拟跟验证证书。然后再用公钥依次验证每一个文件的摘要看是否正确。

更多相关文章

1. Android dex ，xml 文件反编译方法
2. android/java 计算大文件的sha1值
3. Android开发者指南(9) ―― ProGuard
4. Android开发的文件格式概述
5. Android开发者指南(3) ―― Other Tools
6. android 浏览器 内容区 内嵌 scroll 不能滚动解决

随机推荐

1. android中webView中对HTML的一些操作【更
2. 【Android】Android UI显示原理
3. [ Android - Android Studio 问题和异常
4. Android(安卓)彩票选号算法
5. Android测量View宽和高的一般通用方法
6. Android异步1：Thread+Handler更新UI
7. Android入门2—创建AVD
8. Android命令monkey测试
9. Android程序开发0基础教程(一)
10. android模拟器管理和使用SD卡