darter

️ Предупреждение: этот проект устарел. Формат снимков DART постоянно меняется, и любые инструменты Dart Re, подобные этому, нуждаются в постоянном обслуживании или перестают работать с более новыми версиями DART / Flutter. Взносы приветствуются, но в настоящее время у меня нет времени, чтобы инвестировать в мониторинг изменений в виртуальной машине и сохранить это.

Таким образом, если ваш снимок был произведен достаточно современной версией, он, вероятно, не будет проанализировать [правильно]. Тем не менее, если вы хотите попробовать, вам, вероятно, понадобится хотя бы исправление в #3.

darter - это модуль Python, который может полностью проанализировать данные внутри моментального снимка DART (то есть файл libapp.so в приложении Flutter Release).

Функции:

• Диаграммы 100% данных снимка, включая структуры памяти.
• Поддерживает многие архитектуры и три типа снимков (старый, Appjit и Appaot).
• Обычно с нулевым конфигурацией: автодетекции флага и настройки с моментального снимка.
• Автоматически извлекает Blobs из app.so или .snapshot файлов.
• Хранят обратные ссылки, так что вы можете легко ориентироваться по графику.
• Отладка вывода и строгие элементы управления режимами.
• Разбирает и анализирует скомпилированный код, чтобы найти ссылки на объекты VM.

Примеры того, что вы можете сделать с проанализированной информацией:

• Извлечь строку таблицы приложения
• Найдите использование определенного объекта
• Экспортные метаданные для RADARE2
• DeobfuscaT снимка, сопоставив его со ссылкой
• Создать график вызовов, график зависимости библиотеки и т. Д.

Примечание. Имейте в виду, что это для разбора бинарных (т.е. зависимых от архитектуры) снимков. .dill -файлы и некоторые файлы .snapshot содержат ядро ​​AST, который является совершенно другим форматом и в настоящее время не поддерживается darter . [Узнать больше]

Большая часть кода является нулевой зависимостью, за исключением:

• parse_elf_snapshot(...) требует pyelftools

• Модуль darter.asm (для анализа собранного кода) требует Capstone (и его привязки Python)

darter по себе сама по себе-это всего лишь модуль, у него нет автономной программы или CLI.
Рекомендуемый способ его использования заключается в том, чтобы включить его в ноутбук и воспроизведение с проанализированными данными.

Установите Юпитер и откройте 1-introduction ноутбук для базового прохождения проанализированных данных; Затем отправляйтесь в 2-playground , который содержит более интересные примеры использования.

Настоятельно рекомендуется, чтобы вы впервые сыграли с известным снимком (то есть, который вы построили себя или у вас есть код), прежде чем анализировать снимок, который вы хотите.

Сигнал все еще находится на ранней стадии и не будет работать в каждом случае.

• Он был тщательно протестирован на снимках продукта Appaot на ARM и ARM64.
• Он был слегка протестирован на снимках выпуска Appjit на X64.
• Анализ разборки зависит от архитектуры и в настоящее время поддерживает ARM и ARM64.
• Остальная часть кода в основном зависит от архитектуры, но может не работать на других архитектурах без некоторых модификаций.

Этот анализатор был написан на основе DART-SDK на 1ef83b86ae . Формат снимка является внутренним для виртуальной машины. Он сбрасывает некоторые из объектов, когда они появляются в памяти; Вам нужно знать, как была составлена ​​виртуальная машина (Arch, Compile Flags), чтобы проанализировать его. Он может часто меняться между версиями, так как для формата нет стандартной спецификации (AFAIK).

Любая помощь или пожертвования приветствуются.

Учитывая раздел данных и раздел инструкций (и, опционально, база ):

• Распокачать раздел распределения кластеров, создание эталонной таблицы.
• Разобрать в разделе заполнения кластеров.
• Проанализировать корневой объект.
• Свяжите ссылки между объектами.
• Проанализируйте нативные структуры ( OneByteString , CodeSourceMap , Instructions и т. Д.).
• Полученные объекты VM (и описания кластеров) возвращаются.

Информация возвращается как можно больше, так что ее легко манипулировать. Ссылки на обратные ссылки тоже отслеживаются, так что легко узнать, откуда ссылается определенный объект.

darter может проанализировать как снимки «виртуальной машины», так и «изолят» (те, о которых мы заботимся).

Модуль darter.asm разбирает скомпилированный код и анализирует его. Это важно для снимков AOT, потому что мы не получаем высокого уровня.

Если вы новичок в Dart/Flutter обратно инжиниринг, это хорошая идея, чтобы прочитать это введение первым: https://mrale.ph/dartvm/

Соответствующий код при сериализации снимка находится в среде runtime/vm/clustered_snapshot.cc и runtime/vm/raw_object.h .

В каталоге info также есть дополнительная информация.