幣安每一個官方安裝包都會在 幣安官網 下載頁底部公佈 SHA-256 校驗值,形如 8d5f2a1c9b3e47d6...(共 64 位十六進位制字元);校驗的核心是把你下載到本地的 APK/DMG/EXE 檔案用雜湊工具重新計算一次 SHA-256,再與官網數值逐字元對比,只有完全一致才能證明檔案沒有被中間人篡改。想獲取官方安裝包最直接的方式是點 幣安官方APP,這能避免第三方映象站摻包。下面分別講 Windows、macOS、Linux、Android 四種環境如何在 30 秒內完成 SHA-256 校驗,並給出 APK 簽名校驗的進階方法。
一、什麼是 SHA-256 校驗?為什麼一定要做?
SHA-256 是 SHA-2 家族的一個雜湊演算法,把任意長度的檔案對映成固定 256 bit(64 位十六進位制字元)的摘要。它的三個特性決定了它適合做完整性校驗:
- 抗篡改:檔案改動一個位元組,整個摘要都會劇變。
- 抗碰撞:目前計算機算不出兩個內容不同但摘要相同的檔案。
- 單向:從摘要無法反推原檔案。
為什麼必須校驗? 釣魚者的常見手法是把原版 APK 拆包,注入木馬 SDK(比如監聽剪貼簿中的錢包地址),重新打包後掛在第三方站點。表面看圖示、包名、版本號都一樣,但 SHA-256 必然不同。校驗這一步能把 99% 的假包攔截。
二、Windows 下如何校驗 SHA-256?
Windows 10 / 11 自帶 certutil 命令,不需要裝任何軟體。
方法一:certutil 命令
- 把下載的
BinanceSetup-1.50.2.exe放到D:\Downloads\。 - 按 Win + R → 輸入
cmd開啟命令提示符。 - 輸入:
certutil -hashfile D:\Downloads\BinanceSetup-1.50.2.exe SHA256
- 回車後大約 3-5 秒出結果:
SHA256 的 D:\Downloads\BinanceSetup-1.50.2.exe 雜湊:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4
CertUtil: -hashfile 命令成功完成。
- 把這 64 位字元與 幣安官網 下載頁的 SHA-256 對比,完全一致才安全。
方法二:PowerShell Get-FileHash
PowerShell 命令更簡潔:
Get-FileHash D:\Downloads\BinanceSetup-1.50.2.exe -Algorithm SHA256
輸出格式:
Algorithm Hash Path
SHA256 8D5F2A1C9B3E47D6F8A2C5B9E1D3F7A2... D:\Downloads\...
注意 PowerShell 輸出的是大寫,對比時要麼忽略大小寫,要麼全部轉小寫再比對。
方法三:7-Zip 右鍵選單
如果你裝了 7-Zip,右鍵 EXE 檔案 → CRC SHA → SHA-256,會直接彈窗顯示雜湊值。這種方式對不熟悉命令列的使用者最友好。
三、macOS 下如何校驗 SHA-256?
方法一:shasum 命令
macOS 內建 shasum,開啟 Terminal 輸入:
shasum -a 256 ~/Downloads/Binance-1.50.2.dmg
輸出:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 /Users/you/Downloads/Binance-1.50.2.dmg
方法二:openssl
如果 shasum 有問題,可以用 openssl:
openssl dgst -sha256 ~/Downloads/Binance-1.50.2.dmg
方法三:GUI 工具 QuickHash
不想敲命令可以裝 QuickHash-GUI(免費),拖入 DMG 檔案即可看到多種雜湊值。
四、Linux 下如何校驗 SHA-256?
Linux 用 sha256sum 是最標準的做法:
sha256sum ~/Downloads/BinanceSetup.AppImage
或者批次校驗:
cd ~/Downloads
sha256sum -c binance.sha256
這裡 binance.sha256 是你建立的文字檔案,內容格式為:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 BinanceSetup.AppImage
sha256sum -c 會自動對比並輸出 OK 或 FAILED。
五、Android 下如何校驗 APK?
Android 校驗分雜湊值校驗和簽名校驗兩種,建議都做。
雜湊值校驗(Termux)
- 裝 Termux(F-Droid 下載)。
- 把 APK 放到手機
/sdcard/Download/下。 - Termux 裡執行:
termux-setup-storage
cd /sdcard/Download
sha256sum binance.apk
簽名校驗(apksigner)
雜湊一致只能說明檔案沒被改,簽名一致才能證明是幣安官方釋出。
- 電腦端安裝 Android SDK Build-Tools(34.0.0+)。
- 執行:
apksigner verify --print-certs --verbose binance.apk
- 輸出關鍵欄位:
Signer #1 certificate DN: CN=Binance Cayman Holdings Limited, O=Binance, L=George Town, ST=Cayman Islands, C=KY
Signer #1 certificate SHA-256 digest: a1b2c3d4e5f6...
簽名證書 SHA-256 是固定的,幣安歷史上只更換過一次(v1 → v2 遷移時)。只要證書摘要與官網公佈值一致,就是真包。
快速識別假 APK 的 5 個訊號
| 檢查項 | 正版特徵 | 假包特徵 |
|---|---|---|
| 包名 | com.binance.dev | com.binance.app / com.binance.pro(變種) |
| 簽名者 | Binance Cayman Holdings | 隨機字串或 Unknown |
| 包大小 | 70-80 MB | 40-60 MB 或 120 MB+ |
| 許可權數 | 28-35 個 | 40+ 個(多出 SMS/通訊錄) |
| 首次啟動 | 直接進登入頁 | 跳轉到偽造域名 |
六、DMG 檔案的完整性如何校驗?
macOS DMG 除了 SHA-256,還可以用 codesign 校驗開發者簽名:
codesign -dv --verbose=4 /Applications/Binance.app
關鍵欄位:
Authority=Developer ID Application: Binance Holdings Limited (ABCDE12345)
TeamIdentifier=ABCDE12345
Team Identifier 是 Apple 開發者賬號 ID,幣安的 Team ID 是固定的(可在官網 Support 頁查證),若不一致說明是第三方打包。
七、Windows EXE 的數字簽名校驗
GUI 方式
右鍵 BinanceSetup.exe → 屬性 → 數字簽名 → 選中 Binance Holdings Limited → 詳細資訊 → 檢視證書。
關鍵欄位:
- 頒發給: Binance Holdings Limited
- 頒發者: DigiCert Trusted G4 Code Signing RSA4096
- 有效期: 2024-xx-xx 至 2027-xx-xx
命令列方式(signtool)
signtool verify /pa /v BinanceSetup.exe
輸出 Successfully verified 說明簽名有效。
八、雜湊值不一致怎麼辦?
如果對比後發現 SHA-256 不匹配,不要執行該檔案。可能原因:
- 下載中斷:網路抖動導致包不完整,重新下載。
- CDN 快取錯誤:偶發,清瀏覽器快取或換瀏覽器再下。
- 中間人攻擊:公共 Wi-Fi 下可能被劫持,換成 4G 或家庭網路重新下。
- 官網校驗值滯後:剛釋出的新版偶爾網站未同步,可等 24 小時或換用 幣安官網 的映象。
- 下載源被篡改:第三方站點的包幾乎都有風險,務必回到官網。
常見問題 FAQ
Q1: 每次下載都要校驗嗎?太麻煩了。
A: 從 幣安官網 透過 HTTPS 下載的包,TLS 層本身就提供了傳輸完整性保證,日常使用可以跳過 SHA-256。但如果你是大額資產賬戶、從映象站下載、使用公共 Wi-Fi,強烈建議校驗一次。
Q2: SHA-1 / MD5 可以代替 SHA-256 嗎?
A: 不建議。MD5 已被證明存在碰撞攻擊(2004 年),SHA-1 在 2017 年也被谷歌攻破。目前業界標準是 SHA-256 或 SHA-3。幣安官網統一使用 SHA-256。
Q3: Android 怎麼直接在手機上做簽名校驗,不用電腦?
A: 可以裝 APK Signature Verifier 這類工具(F-Droid 上有多個開源實現),選中 APK 即可顯示簽名證書的 SHA-256 指紋,與官網對比。
Q4: 我看到的雜湊值大寫小寫不一樣,算不一致嗎?
A: 不算。SHA-256 雜湊值本質是十六進位制,大小寫不敏感。Windows PowerShell 輸出大寫,Linux/macOS 輸出小寫,轉成統一大小寫再對比即可。
Q5: 如果我下的是壓縮包解壓後的 APK,SHA-256 還能對得上嗎?
A: 可以。只要解壓過程沒損壞檔案,APK 的雜湊值會和原始下載包完全一致。但如果壓縮包本身是二次打包的(比如解壓後有多個檔案),就不能直接與官網雜湊比較了。
掌握了校驗方法,下一步學習 Android / iOS 各品牌的詳細安裝技巧?回 分類導航 繼續瀏覽。