darter

配x警告：這個項目已經過時。飛鏢快照的格式不斷變化，任何像這樣的Dart Re工具都需要持續維護，或者它們停止使用較新版本的飛鏢 /顫音。歡迎貢獻，但我目前沒有時間投資監視VM的更改並保持更新。

因此，如果您的快照是由相當現代的版本製作的，那麼它可能不會[正確]。不過，如果您想嘗試，您可能至少需要＃3中的修復程序。

darter是一個Python模塊，可以將數據完全解析為DART快照（即libapp.so file flutter應用程序中的文件）。

特徵：

• 對快照數據的100％解析，包括內存結構。
• 支持許多架構和三種快照類型（舊，AppJit和Appaot）。
• 通常是零孔：從快照中自動刪除標誌和設置。
• 從app.so或.snapshot文件自動提取斑點。
• 存儲反向引用，因此您可以輕鬆瀏覽圖形。
• 調試輸出和嚴格模式控件。
• 分解和分析編譯的代碼以查找對VM對象的引用。

您可以使用解析信息來做什麼的示例：

• 提取應用程序的字符串表
• 查找某個對象的用法
• RADARE2出口元數據2
• 通過將快照與引用一個匹配，從而去除快照
• 生成呼叫圖，庫依賴圖等。

注意：請記住，這是用於解析二進制（IE架構依賴性）快照。 .dill文件和一些.snapshot文件包含內核AST，這是一種完全不同的格式，目前不受darter的支持。 [了解更多]

大多數代碼是零依賴性的，除了：

• parse_elf_snapshot(...)需要Pyelftools

• darter.asm模塊（用於分析組裝代碼）需要頂峰（及其Python綁定）

darter本身只是一個模塊，它沒有獨立程序或CLI。
推薦使用它的方法是將其包括在筆記本中並播放解析的數據。

安裝jupyter並打開1-introduction筆記本，以進行分析數據的基本演練；然後前往2-playground ，其中包含更多有趣的使用示例。

強烈建議您在分析所追求的快照之前，首次使用已知快照（即您已經構建了自己或擁有代碼）。

解析器仍處於早期階段，在每種情況下都不會工作。

• 它已經在Appaot產品快照上進行了大量測試，ARM和ARM64。
• 它已在X64上的AppJit Release快照上進行了輕微測試。
• 拆卸分析依賴建築，目前支持ARM和ARM64。
• 該代碼的其餘部分主要是與體系結構無關的，但是在沒有某些修改的情況下，它可能無法在其他體系結構上使用。

該解析器是基於1ef83b86ae的Dart-SDK編寫的。快照格式是VM的內部。它在記憶中出現時會傾倒一些對象。您需要知道如何編譯VM（Arch，Compile Flags）以解析它。它可以在版本之間經常更改，因為該格式沒有標準規格（AFAIK）。

歡迎任何幫助或捐款。

給定數據部分和指令部分（以及可選的基礎）：

• 解析集群分配部分，構建參考表。
• 解析群集填充部分。
• 解析根對象。
• 鏈接對象之間的引用。
• 解析本地結構（ OneByteString ， CodeSourceMap ， Instructions等）。
• 返回所得的VM對象（和群集描述）。

該信息會盡可能地返回，因此很容易操縱。也會跟踪反向引用，因此很容易知道從何處引用某個對象。

darter可以解析“ VM”快照和“孤立”（我們關心的）。

darter.asm模塊將編譯的代碼分解並進行分析。這對於AOT快照至關重要，因為我們沒有高級字節碼。

如果您不熟悉飛鏢/撲面反向工程，最好先閱讀此簡介：https：//mrale.ph/dartvm/

快照序列化上的相關代碼是在runtime/vm/clustered_snapshot.cc和runtime/vm/raw_object.h 。

info目錄中還有其他信息。