0x01 引言

0x02 Flutter

# Flutter体系结构

• 最上层是Framework层，即Flutter框架层，开发者可以通过 Flutter框架层 与 Flutter 交互，该框架提供了以 Dart 语言编写的现代响应式框架。Flutter框架相对较小，因为一些开发者可能会使用到的更高层级的功能已经被拆分到不同的软件包中，使用 Dart和 Flutter的核心库实现，

• Flutter引擎是一个用于高质量跨平台应用的可移植运行时，由C/C++编写。它实现了Flutter的核心库，包括动画和图形、文件和网络I/O、辅助功能支持、插件架构，以及用于开发、编译和运行Flutter应用程序的Dart运行时和工具链。引擎将底层C++代码包装成 Dart代码，通过dart:ui暴露给 Flutter框架层。

• Flutter可以通过一套代码在多个平台使用依靠着嵌入层，嵌入层采用了适合当前平台的语言编写，例如 Android使用的是 Java和 C++， iOS 和 macOS 使用的是 Objective-C 和 Objective-C++，Windows 和 Linux 使用的是 C++。嵌入层提供一个程序入口，程序由此可以与底层操作系统进行协调。

# Flutter App架构

#Flutter编译模式

• Script:：最常见的JIT模式。就像Node.js一样，可以通过Dart VM命令行工具直接执行Dart源代码。

• Script Snapshot： JIT模式。与Script模式不同，Script Snapshot会将源代码打包成代码的Token形式，这可以节省了在编译时词法分析器所花费的时间。

• Application Snapshot： JIT模式。Dart的Application Snapshot有点像运行时的转储。它包含了从源代码解析的类和函数，所以运行时可以更快地进行加载和执行。但是这种快照与架构相关，在IA_32上生成的快照无法在X64平台上运行。

• AOT：AOT模式。在这种模式下，Dart源代码会被翻译成汇编文件，然后汇编文件由汇编器为不同架构编译成二进制代码。

• Script和Script Snapshot：与Dart的模式一样，但Flutter从未使用过。

• Kernel Snapshot：对应用代码进行中间字节码(Dart kernel格式)快照。通过避免Dart代码重新编译来实现移动端的快速启动，类似于Java字节码与JVM，核心快照是不依赖于体系架构的。

• Core JIT：Dart编译代码的一种二进制格式。程序数据和指令打包成特定的二进制格式，供 Dart运行时加载。实际上该模式 是一种 AOT 模式。

• AOT Assembly：即Dart的AOT模式，完全AOT预编译的本地代码。

0x03 Flutter逆向

# 快照

• _kDartVmSnapshotData： 代表 isolate 之间共享的 Dart 堆 (heap) 的初始状态。有助于更快地启动 Dart isolate，但不包含任何 isolate 专属的信息。

• _kDartVmSnapshotInstructions：包含 VM 中所有 Dart isolate 之间共享的通用例程的 AOT 指令。这种快照的体积通常非常小，并且大多会包含程序桩 (stub)。

• _kDartIsolateSnapshotData：代表 Dart 堆的初始状态，并包含 isolate 专属的信息。

• _kDartIsolateSnapshotInstructions：包含由 Dart isolate 执行的 AOT 代码。

#一般逆向方法

• 静态解析libapp.so，即写一个解析器，将libapp.so中的快照数据按照其既定格式进行解析，获取业务代码的类的各种信息，包括类的名称、其中方法的偏移等数据，从而辅助逆向工作。
💡
关于Flutter快照的具体刨析只需要看下面引用的两篇文章，因为这不是本文的重点，在这里不再详细展开：
Reverse engineering Flutter apps (Part 1) (tst.sh)
Reverse engineering Flutter apps (Part 2) (tst.sh)

• 编译修改过的libflutter.so并且重新打包到APK中，在启动APP的过程中，由修改过的引擎动态链接库将快照数据获取并且保存。本文主要采用这种方法。

• rscloura/Doldrums: A Flutter/Dart reverse engineering tool (github.com)

• mildsunrise/darter: :detective: Dart / Flutter VM snapshot analyzer (github.com)

• 更新：Blutter工具，挺好用，根据不同编码的引擎编译不同版本的工具静态dump出源码信息，无需运行时dumphttps://github.com/worawit/blutter

• Impact-I/reFlutter: Flutter Reverse Engineering Framework (github.com)

#编译Flutter动态链接库

• 要为特定 Flutter版本创建补丁，我们必须确定该版本中使用的 Dart SDK的特定版本。可以从下面的链接中找到对应的版本，在这里访问https://storage.googleapis.com/flutter_infra_release/releases/releases_linux.json 即可获取对应版本的DartSDK，但是在这之前需要知道Flutter版本。
对于未抹除hash信息的libapp.so而言，可以在其二进制文件中找到关于快照版本的hash，即snapshotHash ，在这里是7dbbeeb8ef7b91338640dca3927636 。然后通过



通过搜索libflutter.so，找到flutter引擎的hash ，在这里是1ac611c64eadbd93c5f5aba5494b8fc3b35ee952



完成后就可以在reFlutter/scripts/enginehash.tmp.csv at main · Impact-I/reFlutter (github.com)中根据两个hash值准确定位到Flutter版本为3.13.0 对应的dart版本为3.1.0

• 拉取depot_tools 工具并配置环境变量，其含有编译过程中必需的gclient

• 创建准备放置自定义flutter引擎源码的文件夹并创建.gclient

• fork一份flutter引擎到自己的github，flutter/engine: The Flutter engine (github.com)，然后将下面内容填入.gclient

• 使用gclient sync 让他自己拉取相关源码

• 完成后需要将源码切换到特定版本分支

• 安装编译必需的依赖ninja-build

• 这里只编译Android arm64 release 的版本，等待编译完成即可在myengine/src/out/android_release_unopt_arm64/lib.stripped 下找到去符号的libflutter.so

#Patch libflutter.so辅助逆向工程

• Flutter Reverse Engineering and Security Analysis | by Ostorlab | Jun, 2023 | Medium | Medium

• Impact-I/reFlutter: Flutter Reverse Engineering Framework (github.com)

#更新：Blutter工具使用

0x04 IDA符号恢复

0x05 参考

1. Flutter Reverse Engineering and Security Analysis | by Ostorlab | Jun, 2023 | Medium | Medium

2. The Engine architecture · flutter/flutter Wiki

3. Impact-I/reFlutter: Flutter Reverse Engineering Framework

4. flutter/flutter: Flutter makes it easy and fast to build beautiful apps for mobile and beyond

5. dart-lang/sdk: The Dart SDK, including the VM, dart2js, core libraries, and more.

6. Guardsquare/flutter-re-demo: Experiments on the feasibility of Flutter application reverse engineering

7. Flutter 引擎编译、运行与调试 | Sunmoon的博客

8. Flutter’s Compilation Patterns. People who built App with Flutter must… | by stephenwzl | ProAndroidDev

9. Dart VM

10. Flutter 架构概览 - Flutter 中文文档 - Flutter 中文开发者网站 - Flutter

11. [原创]Flutter概述和逆向技术发展时间线，带你快速了解

12. [原创]手把手教大家如何编译flutter的引擎文件libflutter.so(重置版本)

13. Reverse engineering Flutter for Android – A Moment of Insanity

14. 如何逆向Flutter应用（反编译） - 简书

15. [译]Android环境下的Flutter逆向工程

16. Reverse engineering Flutter apps (Part 1)

17. Reverse engineering Flutter apps (Part 2)