首页/ 全部文章/APK下载/币安APK怎么校验签名?SHA256哈希怎么对比

币安APK怎么校验签名?SHA256哈希怎么对比

更新于 2026-04-13 · 11 分钟APK下载

校验币安 APK 完整性的两种主要方法:SHA-256 哈希对比(适合所有用户,1 分钟完成)和 apksigner 签名验证(进阶用户用,验证开发者证书)。从币安官网下载 APK 后做一次校验能显著降低被改包的风险。APP 入口在币安官方APP,全平台流程见下载中心。本文按操作系统给出具体命令。

SHA-256 是什么

SHA-256 是一种密码学哈希算法,给任意文件生成一个 64 位十六进制字符串。特点:

  • 同一文件总是生成相同的哈希
  • 文件改一个字节,哈希完全不同
  • 几乎不可能伪造哈希一致的另一个文件

校验逻辑:

  1. 币安官方公布每个版本 APK 的 SHA-256
  2. 你下载 APK 后本地计算 SHA-256
  3. 两者一致 = APK 没被改过

获取官方哈希

币安官网下载页(binance.com → 底部下载区 → Android)会显示当前 APK 版本的 SHA-256 字符串,类似:

SHA-256:
a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4

复制这串 64 位字符(不要带空格、换行)作为对比基准。

Windows 校验步骤

PowerShell 校验

  1. 按 Win + R 输入 powershell 回车打开 PowerShell
  2. 输入命令(路径换成你下载 APK 的实际路径):
Get-FileHash 'C:\Users\你的用户名\Downloads\Binance-2.95.0.apk' -Algorithm SHA256
  1. 按回车,输出类似:
Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     A3F5B8C7D9E2F4A6B8C0D2E4F6A8B0C2D4E6F8A0B2C4D6E8F0A2B4C6D8E0F2A4  ...
  1. 把 Hash 列的字符串与官方公布的对比

PowerShell 输出默认大写,对比时不区分大小写即可。

CMD 校验(备选)

如果你不习惯 PowerShell,CMD 也能用 certutil:

certutil -hashfile C:\Users\你的用户名\Downloads\Binance-2.95.0.apk SHA256

输出类似:

SHA256 hash of file Binance-2.95.0.apk:
a3 f5 b8 c7 d9 e2 f4 a6 b8 c0 d2 e4 f6 a8 b0 c2
d4 e6 f8 a0 b2 c4 d6 e8 f0 a2 b4 c6 d8 e0 f2 a4
CertUtil: -hashfile command completed successfully.

去掉空格后对比。

macOS / Linux 校验步骤

打开终端,使用 shasum 命令:

shasum -a 256 ~/Downloads/Binance-2.95.0.apk

输出:

a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4  /Users/你的用户名/Downloads/Binance-2.95.0.apk

前 64 位是哈希,后面是文件路径。复制前 64 位与官方对比。

Linux 上也可以用 sha256sum

sha256sum ~/Downloads/Binance-2.95.0.apk

Android 校验步骤

如果你要在手机上直接校验(适合直接在手机上下载的场景):

方式 1:Termux

  1. Google Play 安装 Termux
  2. 进入 Termux 命令行
  3. 执行:
sha256sum /sdcard/Download/Binance-2.95.0.apk
  1. 输出 64 位字符串与官方对比

方式 2:Hash Droid 等 APP

应用商店搜索 "Hash Droid" 或 "Crypto" → 安装 → 选择 APK 文件 → 计算 SHA-256。

哈希对比方法

获得本地哈希后,与官方哈希逐字符对比:

  • 64 位字符要完全一致
  • 大小写不敏感(A 和 a 视为相同)
  • 不能少任何字符

最简单的对比方法:

  1. 复制本地哈希到记事本第一行
  2. 复制官方哈希到第二行
  3. 用文本对比工具(如 Beyond Compare)对比

或者直接眼看(64 位字符量不大,5-10 秒能对比完)。

哈希不一致怎么办

如果两个哈希不同,说明:

  • APK 被篡改(最可能)
  • 下载中断,文件不完整
  • 哈希复制错误(少了字符或多了空格)

处理:

  1. 先确认官方哈希是否复制完整
  2. 重新下载 APK(可能下载中断)
  3. 用不同浏览器再下载一次
  4. 仍不一致,绝对不要安装——APK 已被篡改,删除文件
  5. 直接从官网而非任何第三方重新下载

apksigner 签名校验(进阶)

SHA-256 校验只能确认"和官方公布的一致",更彻底的是验证 APK 的开发者签名。需要 Android SDK:

安装 apksigner

  • 安装 Android Studio(包含 build-tools)
  • 或单独下载 build-tools

apksigner 通常位于:

  • Windows: %ANDROID_HOME%\build-tools\xx.x.x\apksigner.bat
  • macOS / Linux: $ANDROID_HOME/build-tools/xx.x.x/apksigner

验证签名

apksigner verify --print-certs Binance-2.95.0.apk

输出会包含:

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1
Signer #1 certificate DN: CN=Binance, OU=Binance, O=Binance Holdings Limited, ...
Signer #1 certificate SHA-256 digest: ...

关键看:

  • "Verifies" 字样,证明签名有效
  • "certificate DN" 包含 "Binance Holdings Limited" 或类似
  • SHA-256 digest 是开发者证书的指纹

如果 DN 不包含币安组织名,说明 APK 被换了开发者重新签名,是假货。

自动化批量校验

经常下载 APK 的进阶用户可以用脚本自动化:

Bash 脚本(macOS / Linux)

#!/bin/bash
APK_FILE="$1"
EXPECTED_HASH="官方公布的SHA-256"

LOCAL_HASH=$(shasum -a 256 "$APK_FILE" | awk '{print $1}')

if [ "$LOCAL_HASH" = "$EXPECTED_HASH" ]; then
  echo "✓ 校验通过"
else
  echo "✗ 哈希不一致"
  echo "本地:$LOCAL_HASH"
  echo "官方:$EXPECTED_HASH"
fi

使用:./verify.sh Binance-2.95.0.apk

PowerShell 脚本(Windows)

$APK = "$env:USERPROFILE\Downloads\Binance-2.95.0.apk"
$Expected = "官方公布的SHA-256".ToUpper()

$Local = (Get-FileHash $APK -Algorithm SHA256).Hash

if ($Local -eq $Expected) {
  Write-Host "✓ 校验通过" -ForegroundColor Green
} else {
  Write-Host "✗ 哈希不一致" -ForegroundColor Red
  Write-Host "本地:$Local"
  Write-Host "官方:$Expected"
}

常见误区

误区 1:哈希一样就 100% 安全

哈希一样说明文件没被改,但 APK 本身能否信任取决于源头。从币安官网下载的 APK 哈希一致是最高保证,从第三方平台即使哈希一致也存在第三方初次拿到 APK 时被换的可能(虽然概率极低)。

误区 2:MD5 校验也行

MD5 已被证明可以人为伪造碰撞,不要用 MD5。SHA-1 也不再推荐。SHA-256 目前是行业标准。

误区 3:APK 文件大小一样就安全

文件大小相同也可能内容被改(精确填充对齐)。必须校验哈希。

常见问题

问:每次下载都要校验吗? 答:建议每次都校验,1 分钟搞定。从官网下载且网络正常的话不校验风险很低,但养成习惯能避免一次失误造成的损失。

问:APP 内升级的 APK 也要校验吗? 答:不需要。APP 内升级走的是币安服务器内部下载,使用 HTTPS 加密+签名校验,已经验证过完整性。

问:APKPure 上下载没有 SHA-256 怎么办? 答:去 binance.com 找官方 SHA-256 作为对比基准。如果第三方哈希和官方一致,说明 APKPure 没改包;如果不一致就丢弃。

问:哈希校验通过但 APP 不能装? 答:问题不在 APK 完整性,可能是系统兼容性、签名冲突、安全软件拦截等。参考"币安 APP 装不上怎么办"。

问:手机上有简单的校验工具吗? 答:Hash Droid(Android)、HashChecker(Termux)等。iOS 没有官方校验工具因为 iOS 不支持 APK。

问:apksigner 显示 v1 v2 v3 都通过是什么意思? 答:Android 不同版本支持不同的 APK 签名方案(v1/v2/v3)。三个都通过说明币安 APK 同时支持多种签名验证机制,兼容性更好。

总结

校验币安 APK 的标准流程:下载后用 SHA-256 命令计算本地哈希 → 与币安官网公布的哈希对比 → 一致才安装。Windows 用 PowerShell 的 Get-FileHash,macOS/Linux 用 shasum -a 256,Android 用 Termux 的 sha256sum。MD5 不安全不要用。进阶用户可以再用 apksigner 验证开发者签名包含 Binance Holdings 字样。养成每次校验的习惯,能避免被钓鱼 APK 截胡。