币安每一个官方安装包都会在 币安官网 下载页底部公布 SHA-256 校验值,形如 8d5f2a1c9b3e47d6...(共 64 位十六进制字符);校验的核心是把你下载到本地的 APK/DMG/EXE 文件用哈希工具重新计算一次 SHA-256,再与官网数值逐字符对比,只有完全一致才能证明文件没有被中间人篡改。想获取官方安装包最直接的方式是点 币安官方APP,这能避免第三方镜像站掺包。下面分别讲 Windows、macOS、Linux、Android 四种环境如何在 30 秒内完成 SHA-256 校验,并给出 APK 签名校验的进阶方法。
一、什么是 SHA-256 校验?为什么一定要做?
SHA-256 是 SHA-2 家族的一个哈希算法,把任意长度的文件映射成固定 256 bit(64 位十六进制字符)的摘要。它的三个特性决定了它适合做完整性校验:
- 抗篡改:文件改动一个字节,整个摘要都会剧变。
- 抗碰撞:目前计算机算不出两个内容不同但摘要相同的文件。
- 单向:从摘要无法反推原文件。
为什么必须校验? 钓鱼者的常见手法是把原版 APK 拆包,注入木马 SDK(比如监听剪贴板中的钱包地址),重新打包后挂在第三方站点。表面看图标、包名、版本号都一样,但 SHA-256 必然不同。校验这一步能把 99% 的假包拦截。
二、Windows 下如何校验 SHA-256?
Windows 10 / 11 自带 certutil 命令,不需要装任何软件。
方法一:certutil 命令
- 把下载的
BinanceSetup-1.50.2.exe放到D:\Downloads\。 - 按 Win + R → 输入
cmd打开命令提示符。 - 输入:
certutil -hashfile D:\Downloads\BinanceSetup-1.50.2.exe SHA256
- 回车后大约 3-5 秒出结果:
SHA256 的 D:\Downloads\BinanceSetup-1.50.2.exe 哈希:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4
CertUtil: -hashfile 命令成功完成。
- 把这 64 位字符与 币安官网 下载页的 SHA-256 对比,完全一致才安全。
方法二:PowerShell Get-FileHash
PowerShell 命令更简洁:
Get-FileHash D:\Downloads\BinanceSetup-1.50.2.exe -Algorithm SHA256
输出格式:
Algorithm Hash Path
SHA256 8D5F2A1C9B3E47D6F8A2C5B9E1D3F7A2... D:\Downloads\...
注意 PowerShell 输出的是大写,对比时要么忽略大小写,要么全部转小写再比对。
方法三:7-Zip 右键菜单
如果你装了 7-Zip,右键 EXE 文件 → CRC SHA → SHA-256,会直接弹窗显示哈希值。这种方式对不熟悉命令行的用户最友好。
三、macOS 下如何校验 SHA-256?
方法一:shasum 命令
macOS 内置 shasum,打开 Terminal 输入:
shasum -a 256 ~/Downloads/Binance-1.50.2.dmg
输出:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 /Users/you/Downloads/Binance-1.50.2.dmg
方法二:openssl
如果 shasum 有问题,可以用 openssl:
openssl dgst -sha256 ~/Downloads/Binance-1.50.2.dmg
方法三:GUI 工具 QuickHash
不想敲命令可以装 QuickHash-GUI(免费),拖入 DMG 文件即可看到多种哈希值。
四、Linux 下如何校验 SHA-256?
Linux 用 sha256sum 是最标准的做法:
sha256sum ~/Downloads/BinanceSetup.AppImage
或者批量校验:
cd ~/Downloads
sha256sum -c binance.sha256
这里 binance.sha256 是你创建的文本文件,内容格式为:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 BinanceSetup.AppImage
sha256sum -c 会自动对比并输出 OK 或 FAILED。
五、Android 下如何校验 APK?
Android 校验分哈希值校验和签名校验两种,建议都做。
哈希值校验(Termux)
- 装 Termux(F-Droid 下载)。
- 把 APK 放到手机
/sdcard/Download/下。 - Termux 里执行:
termux-setup-storage
cd /sdcard/Download
sha256sum binance.apk
签名校验(apksigner)
哈希一致只能说明文件没被改,签名一致才能证明是币安官方发布。
- 电脑端安装 Android SDK Build-Tools(34.0.0+)。
- 执行:
apksigner verify --print-certs --verbose binance.apk
- 输出关键字段:
Signer #1 certificate DN: CN=Binance Cayman Holdings Limited, O=Binance, L=George Town, ST=Cayman Islands, C=KY
Signer #1 certificate SHA-256 digest: a1b2c3d4e5f6...
签名证书 SHA-256 是固定的,币安历史上只更换过一次(v1 → v2 迁移时)。只要证书摘要与官网公布值一致,就是真包。
快速识别假 APK 的 5 个信号
| 检查项 | 正版特征 | 假包特征 |
|---|---|---|
| 包名 | com.binance.dev | com.binance.app / com.binance.pro(变种) |
| 签名者 | Binance Cayman Holdings | 随机字符串或 Unknown |
| 包大小 | 70-80 MB | 40-60 MB 或 120 MB+ |
| 权限数 | 28-35 个 | 40+ 个(多出 SMS/通讯录) |
| 首次启动 | 直接进登录页 | 跳转到伪造域名 |
六、DMG 文件的完整性如何校验?
macOS DMG 除了 SHA-256,还可以用 codesign 校验开发者签名:
codesign -dv --verbose=4 /Applications/Binance.app
关键字段:
Authority=Developer ID Application: Binance Holdings Limited (ABCDE12345)
TeamIdentifier=ABCDE12345
Team Identifier 是 Apple 开发者账号 ID,币安的 Team ID 是固定的(可在官网 Support 页查证),若不一致说明是第三方打包。
七、Windows EXE 的数字签名校验
GUI 方式
右键 BinanceSetup.exe → 属性 → 数字签名 → 选中 Binance Holdings Limited → 详细信息 → 查看证书。
关键字段:
- 颁发给: Binance Holdings Limited
- 颁发者: DigiCert Trusted G4 Code Signing RSA4096
- 有效期: 2024-xx-xx 至 2027-xx-xx
命令行方式(signtool)
signtool verify /pa /v BinanceSetup.exe
输出 Successfully verified 说明签名有效。
八、哈希值不一致怎么办?
如果对比后发现 SHA-256 不匹配,不要运行该文件。可能原因:
- 下载中断:网络抖动导致包不完整,重新下载。
- CDN 缓存错误:偶发,清浏览器缓存或换浏览器再下。
- 中间人攻击:公共 Wi-Fi 下可能被劫持,换成 4G 或家庭网络重新下。
- 官网校验值滞后:刚发布的新版偶尔网站未同步,可等 24 小时或换用 币安官网 的镜像。
- 下载源被篡改:第三方站点的包几乎都有风险,务必回到官网。
常见问题 FAQ
Q1: 每次下载都要校验吗?太麻烦了。
A: 从 币安官网 通过 HTTPS 下载的包,TLS 层本身就提供了传输完整性保证,日常使用可以跳过 SHA-256。但如果你是大额资产账户、从镜像站下载、使用公共 Wi-Fi,强烈建议校验一次。
Q2: SHA-1 / MD5 可以代替 SHA-256 吗?
A: 不建议。MD5 已被证明存在碰撞攻击(2004 年),SHA-1 在 2017 年也被谷歌攻破。目前业界标准是 SHA-256 或 SHA-3。币安官网统一使用 SHA-256。
Q3: Android 怎么直接在手机上做签名校验,不用电脑?
A: 可以装 APK Signature Verifier 这类工具(F-Droid 上有多个开源实现),选中 APK 即可显示签名证书的 SHA-256 指纹,与官网对比。
Q4: 我看到的哈希值大写小写不一样,算不一致吗?
A: 不算。SHA-256 哈希值本质是十六进制,大小写不敏感。Windows PowerShell 输出大写,Linux/macOS 输出小写,转成统一大小写再对比即可。
Q5: 如果我下的是压缩包解压后的 APK,SHA-256 还能对得上吗?
A: 可以。只要解压过程没损坏文件,APK 的哈希值会和原始下载包完全一致。但如果压缩包本身是二次打包的(比如解压后有多个文件),就不能直接与官网哈希比较了。
掌握了校验方法,下一步学习 Android / iOS 各品牌的详细安装技巧?回 分类导航 继续浏览。