从android本地库中获取原始的dex文件

Question

我想实施安全检查 - 应用程序（或dex文件）的签名验证，以验证未修改的应用程序是否使用我的共享本地库（* .so）与NDK构建。我想直接在C++中执行所有签名检查，而不使用Java。目前我发现可以在这里访问apk文件：/data/app/--1/base.apk。从apk文件我猜可能得到原始的dex文件的内容可能甚至没有提取作为apk文件对齐。

1. 有谁知道如何阅读dex文件，而无需从apk中提取？

我说原来的dex文件，因为如果我理解正确（并纠正我，如果我错了）当apk安装时，dex文件被转换为ELF共享对象 - 特定于设备体系结构的二进制可执行文件。这就是为什么我无法检查/验证/ proc/self/maps中列出的* .dex文件的签名的原因（例如：/data/dalvik-cache/x86/data@app@com.asdf.pkg@base .apk @ classes.dex），因为在编译时不可能知道签名，因为dex文件将被更改。

我知道检查原始dex文件的方法不是非常安全，因为我认为它可以通过替换优化的dex文件轻松绕过rooted设备 - 只需在自定义dex文件上运行dex2oat并将其放入（/ data/dalvik -cache/...）。

1. 有没有其他更好的方法来检查应用程序是否是使用普通C++的本地库的原创？ （不通过JNI调用Java）

Answer 1

1. 有没有人知道如何阅读dex文件，而无需从apk中提取？

副手，我想不出有办法做到这一点。

1. 有没有其他更好的方法来检查应用程序是否是使用普通C++的本地库的原创？ （不通过JNI调用Java）

我能想到的一些（和他们的帽子全都是疯）：

1. 执行APK的散列和比较对散列上的外部网络服务器。无法对哈希进行硬编码，因为这会改变哈希。这应该是最简单的。对于奖励积分，请将其保存在本地，以便将来的运行不需要网络连接。
2. 将jarsigner嵌入到您的应用中。把它放在你的资产文件夹中，并使用exec或任何C++使用的本机调用它。 Hosting an executable within Android application表示可以这样做。 Oracle documentation of jarsigner表示自签名罐子为出版商输出UNKNOWN。有人不太可能将应用上传到Google Play，但理论上他们可以用真实证书对其进行签名，因此不确定这是否真的安全。再次，你应该能够检查它是否与你的证书签署。

对于像我这样的愚蠢的人来说，使用基于Intel的设备可能会失败。

1. 火与硫磺。用zlib解压缩，并用OpenSSL检查证书。在尝试这个之前，我会认真考虑职业变化，但是，我不是C/C++的粉丝。