首頁/ 全部文章/APK下載/幣安APK怎麼校驗簽名?SHA256雜湊怎麼對比

幣安APK怎麼校驗簽名?SHA256雜湊怎麼對比

更新於 2026-04-13 · 11 分鐘APK下載

校驗幣安 APK 完整性的兩種主要方法:SHA-256 雜湊對比(適合所有使用者,1 分鐘完成)和 apksigner 簽名驗證(進階使用者用,驗證開發者證書)。從幣安官網下載 APK 後做一次校驗能顯著降低被改包的風險。APP 入口在幣安官方APP,全平臺流程見下載中心。本文按作業系統給出具體命令。

SHA-256 是什麼

SHA-256 是一種密碼學雜湊演算法,給任意檔案生成一個 64 位十六進位制字串。特點:

  • 同一檔案總是生成相同的雜湊
  • 檔案改一個位元組,雜湊完全不同
  • 幾乎不可能偽造雜湊一致的另一個檔案

校驗邏輯:

  1. 幣安官方公佈每個版本 APK 的 SHA-256
  2. 你下載 APK 後本地計算 SHA-256
  3. 兩者一致 = APK 沒被改過

獲取官方雜湊

幣安官網下載頁(binance.com → 底部下載區 → Android)會顯示當前 APK 版本的 SHA-256 字串,類似:

SHA-256:
a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4

複製這串 64 位字元(不要帶空格、換行)作為對比基準。

Windows 校驗步驟

PowerShell 校驗

  1. 按 Win + R 輸入 powershell 回車開啟 PowerShell
  2. 輸入命令(路徑換成你下載 APK 的實際路徑):
Get-FileHash 'C:\Users\你的用户名\Downloads\Binance-2.95.0.apk' -Algorithm SHA256
  1. 按回車,輸出類似:
Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     A3F5B8C7D9E2F4A6B8C0D2E4F6A8B0C2D4E6F8A0B2C4D6E8F0A2B4C6D8E0F2A4  ...
  1. 把 Hash 列的字串與官方公佈的對比

PowerShell 輸出預設大寫,對比時不區分大小寫即可。

CMD 校驗(備選)

如果你不習慣 PowerShell,CMD 也能用 certutil:

certutil -hashfile C:\Users\你的用户名\Downloads\Binance-2.95.0.apk SHA256

輸出類似:

SHA256 hash of file Binance-2.95.0.apk:
a3 f5 b8 c7 d9 e2 f4 a6 b8 c0 d2 e4 f6 a8 b0 c2
d4 e6 f8 a0 b2 c4 d6 e8 f0 a2 b4 c6 d8 e0 f2 a4
CertUtil: -hashfile command completed successfully.

去掉空格後對比。

macOS / Linux 校驗步驟

開啟終端,使用 shasum 命令:

shasum -a 256 ~/Downloads/Binance-2.95.0.apk

輸出:

a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4  /Users/你的用户名/Downloads/Binance-2.95.0.apk

前 64 位是雜湊,後面是檔案路徑。複製前 64 位與官方對比。

Linux 上也可以用 sha256sum

sha256sum ~/Downloads/Binance-2.95.0.apk

Android 校驗步驟

如果你要在手機上直接校驗(適合直接在手機上下載的場景):

方式 1:Termux

  1. Google Play 安裝 Termux
  2. 進入 Termux 命令列
  3. 執行:
sha256sum /sdcard/Download/Binance-2.95.0.apk
  1. 輸出 64 位字串與官方對比

方式 2:Hash Droid 等 APP

應用商店搜尋 "Hash Droid" 或 "Crypto" → 安裝 → 選擇 APK 檔案 → 計算 SHA-256。

雜湊對比方法

獲得本地雜湊後,與官方雜湊逐字元對比:

  • 64 位字元要完全一致
  • 大小寫不敏感(A 和 a 視為相同)
  • 不能少任何字元

最簡單的對比方法:

  1. 複製本地雜湊到記事本第一行
  2. 複製官方雜湊到第二行
  3. 用文字對比工具(如 Beyond Compare)對比

或者直接眼看(64 位字元量不大,5-10 秒能對比完)。

雜湊不一致怎麼辦

如果兩個雜湊不同,說明:

  • APK 被篡改(最可能)
  • 下載中斷,檔案不完整
  • 雜湊複製錯誤(少了字元或多了空格)

處理:

  1. 先確認官方雜湊是否複製完整
  2. 重新下載 APK(可能下載中斷)
  3. 用不同瀏覽器再下載一次
  4. 仍不一致,絕對不要安裝——APK 已被篡改,刪除檔案
  5. 直接從官網而非任何第三方重新下載

apksigner 簽名校驗(進階)

SHA-256 校驗只能確認"和官方公佈的一致",更徹底的是驗證 APK 的開發者簽名。需要 Android SDK:

安裝 apksigner

  • 安裝 Android Studio(包含 build-tools)
  • 或單獨下載 build-tools

apksigner 通常位於:

  • Windows: %ANDROID_HOME%\build-tools\xx.x.x\apksigner.bat
  • macOS / Linux: $ANDROID_HOME/build-tools/xx.x.x/apksigner

驗證簽名

apksigner verify --print-certs Binance-2.95.0.apk

輸出會包含:

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1
Signer #1 certificate DN: CN=Binance, OU=Binance, O=Binance Holdings Limited, ...
Signer #1 certificate SHA-256 digest: ...

關鍵看:

  • "Verifies" 字樣,證明簽名有效
  • "certificate DN" 包含 "Binance Holdings Limited" 或類似
  • SHA-256 digest 是開發者證書的指紋

如果 DN 不包含幣安組織名,說明 APK 被換了開發者重新簽名,是假貨。

自動化批次校驗

經常下載 APK 的進階使用者可以用指令碼自動化:

Bash 指令碼(macOS / Linux)

#!/bin/bash
APK_FILE="$1"
EXPECTED_HASH="官方公布的SHA-256"

LOCAL_HASH=$(shasum -a 256 "$APK_FILE" | awk '{print $1}')

if [ "$LOCAL_HASH" = "$EXPECTED_HASH" ]; then
  echo "✓ 校验通过"
else
  echo "✗ 哈希不一致"
  echo "本地:$LOCAL_HASH"
  echo "官方:$EXPECTED_HASH"
fi

使用:./verify.sh Binance-2.95.0.apk

PowerShell 指令碼(Windows)

$APK = "$env:USERPROFILE\Downloads\Binance-2.95.0.apk"
$Expected = "官方公布的SHA-256".ToUpper()

$Local = (Get-FileHash $APK -Algorithm SHA256).Hash

if ($Local -eq $Expected) {
  Write-Host "✓ 校验通过" -ForegroundColor Green
} else {
  Write-Host "✗ 哈希不一致" -ForegroundColor Red
  Write-Host "本地:$Local"
  Write-Host "官方:$Expected"
}

常見誤區

誤區 1:雜湊一樣就 100% 安全

雜湊一樣說明檔案沒被改,但 APK 本身能否信任取決於源頭。從幣安官網下載的 APK 雜湊一致是最高保證,從第三方平臺即使雜湊一致也存在第三方初次拿到 APK 時被換的可能(雖然機率極低)。

誤區 2:MD5 校驗也行

MD5 已被證明可以人為偽造碰撞,不要用 MD5。SHA-1 也不再推薦。SHA-256 目前是行業標準。

誤區 3:APK 檔案大小一樣就安全

檔案大小相同也可能內容被改(精確填充對齊)。必須校驗雜湊。

常見問題

問:每次下載都要校驗嗎? 答:建議每次都校驗,1 分鐘搞定。從官網下載且網路正常的話不校驗風險很低,但養成習慣能避免一次失誤造成的損失。

問:APP 內升級的 APK 也要校驗嗎? 答:不需要。APP 內升級走的是幣安伺服器內部下載,使用 HTTPS 加密+簽名校驗,已經驗證過完整性。

問:APKPure 上下載沒有 SHA-256 怎麼辦? 答:去 binance.com 找官方 SHA-256 作為對比基準。如果第三方雜湊和官方一致,說明 APKPure 沒改包;如果不一致就丟棄。

問:雜湊校驗透過但 APP 不能裝? 答:問題不在 APK 完整性,可能是系統相容性、簽名衝突、安全軟體攔截等。參考"幣安 APP 裝不上怎麼辦"。

問:手機上有簡單的校驗工具嗎? 答:Hash Droid(Android)、HashChecker(Termux)等。iOS 沒有官方校驗工具因為 iOS 不支援 APK。

問:apksigner 顯示 v1 v2 v3 都透過是什麼意思? 答:Android 不同版本支援不同的 APK 簽名方案(v1/v2/v3)。三個都透過說明幣安 APK 同時支援多種簽名驗證機制,相容性更好。

總結

校驗幣安 APK 的標準流程:下載後用 SHA-256 命令計算本地雜湊 → 與幣安官網公佈的雜湊對比 → 一致才安裝。Windows 用 PowerShell 的 Get-FileHash,macOS/Linux 用 shasum -a 256,Android 用 Termux 的 sha256sum。MD5 不安全不要用。進階使用者可以再用 apksigner 驗證開發者簽名包含 Binance Holdings 字樣。養成每次校驗的習慣,能避免被釣魚 APK 截胡。