从零开始学Android应用安全测试（Part2）

存储公钥证书的CERT.RSA文件是在META-INF 文件夹下面，找出公钥证书的信息可以键入一下命令

keytool -printcert -file META-INF/CERT.RSA

请注意，在经过反编译，编译然后重新部署到其他设备之后还可以对这个apk文件中的代码进行修改。但是，一旦修改了这个apk文件之后，就会丢失其完整性，那么我们就需要重新弄一个public/private key。

说到这里，推荐大家去了解下如何创建自己的public/private key

一旦完成应用程序的编译工作，你可以使用jarsigner工具对其完整性进行验证。

现在我们就来使用dex2jar这款反编译工具，dex2jar接受输入为.apk后缀的文件，然后将其转换为jar文件。

完成操作之后，你可以在JD-GUI中打开，并浏览其源代码。

现在我们就可以通过浏览其源代码找到一些潜在的漏洞，我们可以清楚的注意到对这个apk文件进行逆向，并浏览其源代码是多么的简单。这里我们需要注意的是，我们之所以能够这么简单就得到源代码是由于这款App没有对其源码进行模糊处理。像Google提供的Proguard工具就可对代码进行模糊处理。虽然对App源码进行模糊处理并非是万无一失的方法，但是至少还是有一部分作用，在今后的文章中我们可能就会遇到对代码进行了模糊处理的案例。

在本节中，我们了解到如何从一款App中提取信息。