有什么比较简便的方法可以(仅针对微信认证)伪造应用签名吗？

简单的描述一下，现在有一个邪恶的应用 X, 使用了微信登陆的 API, 作为认证。我要自己写一个应用，代替它的应用，和它用相同的appid，拿到微信登陆的code.

详情：

为了能够不安装这个邪恶的应用 X, 同时为了应付这个应用 X 背后的不可撼动的力量的存在，我决定提取一下这个应用的处理流程，然后写个脚本进行这些提交工作。

然而微信登陆还是比较麻烦的，所以我决定，写一个登陆的 shell ，把拿到的code传回来。这就要求我使用它的appid，来发起验证。

可是，微信会验证发起人的包名（这个无所谓），签名的 MD5 （这个不容易伪造）。

微信的 api 有checkSignature = " + paramBoolean然而这没有什么卵用。

如果说装一下对方的应用，然后劫持一下token的话这会比较简单就能搞定，然而前提是我不想装那个邪恶的应用 X.

关于那个应用 X 的其他部分我都已经拆解的比较彻底了，但是微信却是挺蛋疼的，不知道大家有没有什么经验。

可以是需要 root 的方案，我只需要对微信伪造我的签名的 md5.