众所周知,apk包是必须要被签名的,否则无法在用户的终端上安装。为了满足某些需求,有时我们需要更换特定apk的签名证书和签名,在这篇文章中我们谈谈如何重新对一个apk包进行重签名。
我们需要分几步来实现这个目标:
1.准备工作
2.生成新的秘钥对
3.对apk包进行签名
4.对签名后的apk包做对齐操作
1.准备工作
在正式开始前,需要确认你拥有keytool,jarsigner和zipalign这三个工具软件。keytool和jarsigner包含在JDK中,zipalign包含在Android SDK中,为了可以在命令行下正常使用,需要设置PATH环境变量。
另外,我们还需要一个apk包来进行测试,我用的是qq音乐的apk包。下面我们看一下apk包中与签名相关的文件,apk包其实就是个zip文件,我们用解压缩软件就可以直接打开它
![]()
META-INF文件夹中存放的就是与签名相关的文件
![]()
MANIFEST.MF是一个文本文件,里面逐条列出了apk包中每个文件的摘要值
ANDROIDR.RSA是用于签名的公钥证书文件
ANDROIDR.SF是包含签名数据的文件
我们对apk进行重签名就是要替换ANDROID.RSA和ANDROID.SF这两个文件
2.生成新的秘钥对
使用keytool来生成用于重新签名的RSA秘钥对,在命令行输入下面的命令
- keytool -genkey -v -keystore highball-key.keystore -alias highball-key -keyalg RSA -keysize 2048 -validity 10000
秘钥对会以highball-key.keystore为文件名保存在当前目录下,别名为highball-key,算法为2048位的RSA,有效期为10000天。键入命令后,会提示你输入密码,密码一定要记住,因为以后每次使用该秘钥签名时都需要输入。然后工具会要求你输入一系列的个人信息,包括名字、组织等等。全部输入完毕后,秘钥就生成好了。
另秘钥的别名也需要记住,因为后面的jarsigner要用到。
3.对apk包进行签名
有了秘钥对和apk包,我们就使用jarsigner进行重签名了。
首先,我们删除前面提到的ANDROIDR.RSA和ANDROIDR.SF
然后在命令行下,输入命令和密码
- jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore highball-key.keystore qqmusic.apk highball-key
新生成的apk包会覆盖之前的旧apk包
用解压缩软件查看新生成的apk包,可以看到证书文件和签名文件已经被替换了
![]()
*如果不删除ANDROIDR.RSA和ANDROIDR.SF,这里会同时出现两组证书和签名文件,我没有尝试安装这样的apk包,有兴趣的同学可以试一下。
4.对签名后的apk包做对齐操作
对apk包签名成功后,需要运行zipalign工具来对文件进行对齐操作,四字节的对齐可以让应用程序运行在设备上时有更好的性能。(可以用mmap()将文件映射到内存)。
- zipalign -v 4 qqmusic.apk qqmusic_aligned.apk
参考文章:
http://developer.android.com/tools/publishing/app-signing.html
http://www.fengpiaoyu.com/2011/07/android-apk%E7%9A%84%E7%AD%BE%E5%90%8D%E4%B8%8E%E9%87%8D%E6%96%B0%E7%AD%BE%E5%90%8D/
