darter

Euen Warnung: Dieses Projekt ist veraltet. Das Format von Dart -Schnappschüssen ändert sich ständig, und alle Dart -RE -Tools wie diese müssen ständig gewartet werden oder sie hören nicht mehr mit neueren Versionen von Dart / Flattern zu arbeiten. Beiträge sind willkommen, aber ich habe derzeit nicht die Zeit, in die Überwachung von Änderungen an der VM zu investieren und dies auf dem Laufenden zu halten.

Wenn Ihr Schnappschuss also von einer einigermaßen modernen Version produziert wurde, wird sie wahrscheinlich [nicht richtig] analysieren. Wenn Sie jedoch versuchen möchten, benötigen Sie wahrscheinlich mindestens das Fix in #3.

darter ist ein Python -Modul, das die Daten in einem Dart -Snapshot vollständig analysieren kann (dh die libapp.so -Datei in einer Release -Flutter -App).

Merkmale:

• Parsen zu 100% der Snapshot -Daten, einschließlich Speicherstrukturen.
• Unterstützt viele Architekturen und die drei Snapshot -Typen (alt, Appjit und Appaot).
• Normalerweise null-config: Autodetektenflags und Einstellungen aus dem Snapshot.
• Extrahiert die Blobs aus app.so oder .snapshot -Dateien automatisch.
• Speichert Backreferenzen, sodass Sie einfach durch die Grafik navigieren können.
• Debugging Output & Strict -Modus -Steuerelemente.
• Zerlegung und analysiert den kompilierten Code, um Verweise auf VM -Objekte zu finden.

Beispiele dafür, was Sie mit den analysierten Informationen tun können:

• String -Tabelle der Anwendung extrahieren
• Finden Sie Verwendungen eines bestimmten Objekts
• Exportmetadaten für Radare2 exportieren
• Deobfuscate einen Schnappschuss, indem Sie es mit einer Referenz abgleichen
• Call -Diagramm erstellen, Bibliotheksabhängigkeitsgraphen usw.

HINWEIS: Denken Sie daran, dass dies zum Parsen binärer (dh architekturabhängiger) Schnappschüsse gedacht ist. .dill -Dateien und einige .snapshot -Dateien enthalten Kernel AST, was ein völlig anderes Format ist und derzeit nicht von darter unterstützt wird. [Mehr lernen]

Der größte Teil des Codes ist mit Ausnahme:

• parse_elf_snapshot(...) erfordert Pyelftools

• Das darter.asm -Modul (zur Analyse des zusammengesetzten Code) erfordert Capstone (und seine Python -Bindung)

darter an sich ist nur ein Modul, es hat kein eigenständiges Programm oder keine CLI.
Die empfohlene Möglichkeit, dies zu verwenden, besteht darin, es in ein Notizbuch aufzunehmen und mit den analysierten Daten zu spielen.

Installieren Sie Jupyter und öffnen Sie das 1-introduction Notizbuch für eine grundlegende Vorgehensweise der analysierten Daten. Gehen Sie dann zum 2-playground , der interessantere Beispiele für die Verwendung enthält.

Es ist dringend zu empfehlen, dass Sie zuerst mit einem bekannten Schnappschuss spielen (dh, dass Sie sich selbst erstellt oder den Code haben), bevor Sie den Snapshot analysieren, nach dem Sie suchen.

Der Parser befindet sich noch in einem frühen Stadium und funktioniert in jedem Fall nicht.

• Es wurde stark an Appaot -Produkt -Snapshots auf Arm und ARM64 getestet.
• Es wurde leicht auf AppJit Release -Snapshots auf X64 getestet.
• Die Demontageanalyse ist architekturabhängig und unterstützt derzeit Arm und ARM64.
• Der Rest des Codes ist meist architekturunabhängig, kann jedoch ohne einige Änderungen nicht bei anderen Architekturen funktionieren.

Dieser Parser wurde auf DART-SDK unter 1ef83b86ae geschrieben. Das Snapshot -Format ist für die VM intern. Es entpackt einige Objekte, wie sie im Gedächtnis erscheinen. Sie müssen wissen, wie die VM (Bogen, Kompilierflaggen) zusammengestellt wurde, um sie zu analysieren. Es kann sich zwischen den Versionen häufig ändern, da es keine Standardspezifikation (AFAIK) für das Format gibt.

Alle Hilfe oder Spenden sind willkommen.

Bei einem Datenabschnitt und einem Anweisungsabschnitt (und optional eine Basis ):

• Analysieren Sie den Abschnitt der Cluster -Allokation und erstellen Sie die Referenztabelle.
• Analysieren Sie den Abschnitt der Cluster -Füllung.
• Analysieren Sie das Wurzelobjekt.
• Verknüpfen Sie die Referenzen zwischen Objekten.
• Analysieren Sie die nativen Strukturen ( OneByteString , CodeSourceMap , Instructions usw.).
• Die resultierenden VM -Objekte (und Clusterbeschreibungen) werden zurückgegeben.

Die Informationen werden so viel wie möglich analysiert, so dass es leicht zu manipulieren ist. Auch Rückenreferenzen werden verfolgt, so dass es leicht zu wissen ist, wohin ein bestimmtes Objekt verwiesen wird.

darter kann beide 'VM' Snapshots und 'isolieren' analysieren (diejenigen, die uns wichtig sind).

Das darter.asm -Modul zerlegt den kompilierten Code und analysiert ihn. Dies ist für AOT-Schnappschüsse von entscheidender Bedeutung, da wir keinen Bytecode auf hoher Ebene erhalten.

Wenn Sie bei Dart/Flutter Reverse-Engineering neu sind, ist es eine gute Idee, diese Einführung zuerst zu lesen: https://mrale.ph/dartvm/

Der relevante Code in der Snapshot -Serialisierung findet bei runtime/vm/clustered_snapshot.cc und runtime/vm/raw_object.h .

Es gibt auch zusätzliche Informationen im info -Verzeichnis.