一句话答案:把下载文件的哈希算出来,和官网公布的字符串比一字不差
下载币安官网 APK 后,理论上还有一道"保险栓"——校验文件的 SHA256 值。只要算出的哈希和币安官方公示的完全一致,就能 100% 确认这个文件中途没被任何人替换、注入或重打包。这是反钓鱼、反木马捆绑最硬核也最简单的方法。新用户也可以先 注册币安 账号,再 下载币安App 跟着本文做一遍校验练手。
为什么 APK 校验值得花 30 秒
应用商店之外的世界没有强校验
Google Play 与 Galaxy Store 内部都有签名核对机制,所以从这两个商店装出来的 App 不太可能被掉包。但官网 APK 是用户直接从浏览器拉到本地,链路上任何一台路由器、CDN 节点、运营商劫持都可能是攻击入口。校验哈希就是给这条链路加一道终点核验。
仿站可以做到肉眼难辨
钓鱼网站的视觉模仿越来越逼真,连 SSL 证书都能弄到。但是它们没办法伪造一个与官方完全一致的 SHA256——只要文件多一字节,哈希就完全不同。
一次校验只要几秒钟
在自己电脑上跑哈希比安装杀毒软件还快。学一次终身受用,校验流程对所有 APK、ISO、DMG 文件通用。
什么是 SHA256
SHA256 是哈希函数,把任意大小的文件压缩成一个固定长度(64 个十六进制字符)的字符串。它的关键特性是:原文件改动一个比特,输出哈希就会变得面目全非。同时不同文件不可能算出相同哈希(实际碰撞概率极低)。
举例:一个正版币安 APK 的 SHA256 看起来像这样:
8a2f4b...(64 个字符)
任何人重打包、加广告 SDK、改图标,重新算一次哈希都不会与官方一致。
第一步:拿到官方哈希
在哪里看官方公示
- 用浏览器打开币安官网下载页(注意域名拼写)。
- APK 下载按钮附近通常有"校验信息"或"SHA256"折叠区域。
- 复制 64 字符的哈希字符串保存到记事本。
警惕"也是钓鱼网站给的哈希"
如果你下载的 APK 本身就来自钓鱼站,那个站给的哈希也是假的,校一致也没用。所以前提是:APK 链接和哈希都来自同一个、并且是真正的官方域名。可以同时打开第二个客户端(手机 4G、另一台已知干净的电脑)再核对一次官网域名是否一致。
第二步:本地计算文件哈希
Windows 11 / 10 用 PowerShell
按下 Win + X 打开 Windows Terminal,进入 APK 所在目录后执行:
Get-FileHash -Algorithm SHA256 .\binance.apk
回车后一两秒会输出一个 Hash 字段,把这串字符与官方哈希比对。注意 PowerShell 输出是大写,官方可能给小写,这是格式差异不是内容差异。
Windows 命令行 certutil
如果不想用 PowerShell:
certutil -hashfile binance.apk SHA256
输出包含一行连续的 64 字符,那就是哈希。
macOS 用 shasum
打开终端进入下载目录:
shasum -a 256 binance.apk
输出形如<哈希值> binance.apk两段,前一段就是要比对的内容。
Linux 用 sha256sum
sha256sum binance.apk
输出格式与 macOS 类似。
直接在 Android 手机上算
如果 APK 已经下载到手机里、暂时不方便接电脑,可以装一个开源的"Hash Droid"或"Hash Checker"类应用(注意从可信商店选评分高的),然后:
- 打开 Hash 工具 → 选择文件。
- 找到下载目录的 binance.apk。
- 算法选 SHA256。
- 点开始,等几秒输出哈希。
第三步:人眼比对
切勿目测
64 个字符靠肉眼看会漏字符。正确做法是把官方哈希和本机算出的哈希分别贴进同一个文本框,对齐后看是否一字不差。
用工具自动比对
Windows 用户可以这么写:
"<官方哈希>" -eq (Get-FileHash -Algorithm SHA256 .\binance.apk).Hash
输出 True 即一致,False 即不一致。
macOS / Linux:
echo "<官方哈希> binance.apk" | shasum -a 256 -c
会显示 OK 或 FAILED。
第四步:不一致怎么办
立刻停止安装
哈希对不上说明文件已被篡改或下载中途出错,不要尝试再次打开它。先把文件从下载目录移到一个隔离文件夹,避免误点。
排查可能原因
- 重新下载一次官方 APK,校验一遍。如果两次结果都不一致 → 链路被劫持,换网络(4G/VPN/换运营商)再试。
- 检查官网域名拼写:很多人输错一个字母进了仿站。
- 浏览器是否被装了"加速"或"翻译"扩展,有时它们会修改下载内容。
报告样本
如果你确认下到了一个被篡改的 APK,可以在币安官方客服反馈,帮助官方追踪钓鱼网站。千万别在不安全的设备上打开它。
同步签名校验(进阶)
SHA256 只能验证完整性,不能直接证明发行方。再进一步可以校验 APK 的数字签名指纹。
用 keytool 命令
JDK 自带的 keytool 可以读 APK 内的签名证书:
keytool -printcert -jarfile binance.apk
输出里会有 SHA256 fingerprint,这是签名证书的指纹(和文件 SHA256 不同概念)。把这个指纹与官网公布的签名指纹对比,能确认 APK 是币安私钥签发的。即使被人在外层重新打包,签名也会失效或对不上指纹。
apksigner
Android SDK 工具 apksigner 也能验证:
apksigner verify --print-certs binance.apk
输出 Verifies 即签名有效。两道校验合在一起,伪造难度趋近不可能。
常见疑问
校验过的 APK 装到一半网络断了,再次安装还需要重新校验吗
不需要。安装中途断开不会改动 APK 文件本身,只要文件还在下载目录、哈希仍然一致,就可以放心继续安装。
我手机里已经在用的旧版本 App,怎么校验
如果是从官网装的,可以用 ADB 把 APK 拉出来再算哈希。更简单的方法是用 SHA256 校验官网最新 APK 后覆盖安装,前后版本一致也就同时验证了完整性。
MD5 和 SHA256 选哪个
优先选 SHA256。MD5 已被证明存在碰撞风险,攻击者理论上可以构造一个不同文件但同 MD5 的版本。SHA256 目前没有可行的碰撞攻击。
哈希一致就能 100% 安全吗
哈希一致只能证明文件没被篡改,前提是你拿到的官方哈希本身是真的。所以官网域名核对、HTTPS 证书核对依然不能省。两层一起做才完整。
可以在手机里直接做哈希校验吗
可以。前面提到的 Hash Droid、Hash Checker 都支持本地哈希计算,不联网也能完成校验,不会上传你的 APK 到任何服务器。
小结
SHA256 校验是个被很多人忽略但极其值得养成的习惯。下载 → 校验 → 安装这三步走完,被钓鱼版本骗装的概率几乎归零。等你熟练后,整个过程不到一分钟,却能守住资产入口最关键的一道门。
立即开始
准备好了吗?立即注册币安,享受专属交易手续费折扣。
也可以先下载币安App,随时随地管理你的数字资产。