tabby原理分析

最新推荐文章于 2024-08-01 23:13:14 发布
最新推荐文章于 2024-08-01 23:13:14 发布
阅读量927 收藏 1
点赞数
文章标签: java jvm 大数据 mybatis 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/band_mmbx/article/details/126263679
版权
tabby是一款基于soot的Java静态代码分析工具,用于分析jar包并生成代码属性图,尤其在反序列化链挖掘中有应用。文章详细介绍了tabby的工作流程,包括加载配置、使用soot进行污点分析等步骤,解析了关键类如ClassInfoCollector和SimpleStmtSwitcher的作用,以及如何处理不同类型的方法调用和赋值语句。
摘要由CSDN通过智能技术生成

tabby 是一款基于 soot 实现的java静态代码分析工具,用于分析jar包,生成代码属性图。结合手工可以半自动地完成java反序列化链挖掘工作。

我们从tabby的源代码进行分析,根据源代码的逻辑结构,可以看出其工作流程分成下面几个部分

加载配置文件,设置分析选项
分析类、方法和关联信息
使用soot进行污点分析、生成调用边
保存代码属性图`

其中使用soot进行污点分析的部分是本文的重点

1.1 加载配置文件,设置分析选项

tabby的入口方法为 tabby.App#run ,代码如下

@Bean
    CommandLineRunner run(){
        return args -> {
            try{
                if(!JavaVersion.isJDK8()){
                    throw new JDKVersionErrorException("Error JDK version. Please using JDK8.");
                }
                loadProperties("config/settings.properties");
                applyOptions();
                analyser.run(props);
                log.info("Done. Bye!");
                System.exit(0);
            }catch (IllegalArgumentException e){
                log.error(e.getMessage() +
                        "\nPlease use java -jar tabby target_directory [--isJDKOnly|--isJDKProcess|--isSaveOnly|--excludeJDK] !" +
                        "\ntarget_directory 为相对路径" +
                        "\n--isJDKOnly出现时,仅处理JDK的内容" +
                        "\n--excludeJDK出现时,不添加当前运行jre环境" +
                        "\n--isJDKProcess出现时,将处理当前运行jre环境的分析" +
                        "\nExample: java -jar tabby cases/jars --isJDKProcess" +
                        "\nOthers: https://github.com/wh1t3p1g/tabby/wiki/Tabby%E9%A3%9F%E7%94%A8%E6%8C%87%E5%8C%97");
            }catch (JDKVersionErrorException e){
                log.error(e.getMessage());
            }
        };
    }`

这里tabby通过一个 .properties 文件来加载配置,配置选项如下

`# build code property graph
tabby.build.enable                    = true
# jdk settings
tabby.build.isJDKProcess              = true
tabby.build.withAllJDK                = false
tabby.build.excludeJDK                = false
tabby.build.isJDKOnly                 = false

# dealing fatjar
tabby.build.checkFatJar               = true

# default pointed-to analysis
tabby.build.isFullCallGraphCreate     = true

# targets to analyse
tabby.build.target                    = path/to/target
tabby.build.libraries                 = path/to/lib

# load to neo4j
tabby.load.enable                     = false

# debug
tabby.debug.details                   = false
tabby.debug.inner.details             = false`

这里关注一下 isFullCallGraphCreate 这个选项。如果为 true ,那么分析时使用 FullCallGraphScanner 类,如果为 false 那么使用 CallGraphScanner 类。因为 FullCallGraphScanner 类只是简单的生成调用图,而 CallGraphScanner 类会对输入进行污点分析,所以后续分析时主要针对 CallGraphScanner 类。

加载配置完成以后,代码进入 tabby.core.Analyser#run 方法,先配置soot分析目标所在的 classpath

 `public void run(Properties props) throws IOException {

        if("true".equals(props.getProperty(ArgumentEnum.BUILD_ENABLE.toString(), "false"))){
            Map<String, String> dependencies = getJdkDependencies(
                    props.getProperty(ArgumentEnum.WITH_ALL_JDK.toString(), "false"));
            log.info("Get {} JDK dependencies", dependencies.size());

            Map<String, String> cps = "true".equals(props.getProperty(ArgumentEnum.EXCLUDE_JDK.toString(), "false"))?
                    new HashMap<>():new HashMap<>(dependencies);
            Map<String, String> targets = new HashMap<>();
            // 收集目标
            if("false".equals(props.getProperty(ArgumentEnum.IS_JDK_ONLY.toString(), "false"))){
                String target = props.getProperty(ArgumentEnum.TARGET.toString());
                boolean checkFatJar = "true".equals(props.getProperty(ArgumentEnum.CHECK_FAT_JAR.toString(), "false"));
                Map<String, String> files = FileUtils.getTargetDirectoryJarFiles(target, checkFatJar);
                cps.putAll(files);
                targets.putAll(files);
            }

            if("true".equals(props.getProperty(ArgumentEnum.IS_JDK_ONLY.toString(), "false"))
                    || "true".equals(props.getProperty(ArgumentEnum.IS_JDK_PROCESS.toString(), "false"))){
                targets.putAll(dependencies);
            }

            // 添加必要的依赖,防止信息缺失,比如servlet依赖
            if(FileUtils.fileExists(GlobalConfiguration.LIBS_PATH)){
                Map<String, String> files = FileUtils
                        .getTargetDirectoryJarFiles(GlobalConfiguration.LIBS_PATH, false);
                for(Map.Entry<String, String> entry:files.entrySet()){
                    cps.putIfAbsent(entry.getKey(), entry.getValue());
                }
            }

            runSootAnalysis(targets, new ArrayList<>(cps.values()));
        }`

然后进入 tabby.core.Analyser#runSootAnalysis 方法

public void runSootAnalysis(Map<String, String> targets, List<String> classpaths){
        try{
            SootConfiguration.initSootOption();
            addBasicClasses();
            // set class paths
            Scene.v().setSootClassPath(String.join(File.pathSeparator, new HashSet<>(classpaths)));
            // get target filepath
            List<String> realTargets = getTargets(targets);
            if(realTargets.isEmpty()){
                log.info("Nothing to analysis!");
                return;
            }
            Main.v().autoSetOptions();

            // 类信息抽取
            classInfoScanner.run(realTargets);
            // 函数调用分析
            if(GlobalConfiguration.IS_FULL_CALL_GRAPH_CONSTRUCT){
                fullCallGraphScanner.run();
            }else{
                callGraphScanner.run();
            }
            rulesContainer.saveStatus();
        }catch (CompilationDeathException e){
            if (e.getStatus() != CompilationDeathException.COMPILATION_SUCCEEDED) {
                throw e;
            }
        }`

它先调用了 addBasicClasses 方法,内部调用soot提供的API,加载 rules/basicClasses.json 中配置的类文件

`public void addBasicClasses(){
        List<String> basicClasses = rulesContainer.getBasicClasses();
        for(String cls:basicClasses){
            Scene.v().addBasicClass(cls ,HIERARCHY);
        }
    }`

rules/basicClasses.json 默认的内容如下

`[
  "io.netty.channel.ChannelFutureListener",
  "scala.runtime.java8.JFunction2$mcIII$sp",
  "scala.runtime.java8.JFunction1$mcII$sp",
  "scala.runtime.java8.JFunction0$mcV$sp",
  "scala.runtime.java8.JFunction0$mcZ$sp",
  "scala.runtime.java8.JFunction0$mcJ$sp",
  "scala.runtime.java8.JFunction0$mcI$sp",
  "scala.runtime.java8.JFunction1$mcZJ$sp",
  "scala.runtime.java8.JFunction1$mcZI$sp",
  "scala.runtime.java8.JFunction1$mcVI$sp",
  "scala.runtime.java8.JFunction0$mcD$sp",
  "scala.runtime.java8.JFunction0$mcF$sp",
  "scala.runtime.java8.JFunction0$mcS$sp",
  "scala.runtime.java8.JFunction0$mcB$sp",
  "com.codahale.metrics.Gauge"
]`

然后调用 Scene.v().setSootClassPath() ,设置soot加载目标文件用到的 classpath ,之后soot加载 target 时,会在这里设置的 classpath 范围内进行搜索

 `public  void  setSootClassPath(String  p)  {
    sootClassPath = p;
    SourceLocator.v().invalidateClassPath();
  }`

然后调用 getTargets 方法,获取目标类文件的绝对路径,保存到 realTargets 变量中

 `public List<String> getTargets(Map<String, String> targets){
        Set<String> stuff = new HashSet<>();
        List<String> newIgnore = new ArrayList<>();
        targets.forEach((filename,  filepath)  ->  {  if(!rulesContainer.isIgnore(filename)){  stuff.add(filepath);  newIgnore.add(filename);  }  });  rulesContainer.getIgnored().addAll(newIgnore);  log.info("Total analyse {} targets.",  stuff.size());  Options.v().set_process_dir(new  ArrayList<>(stuff));  return  new  ArrayList<>(stuff);  }`

到这里分析需要的soot选项、 classpath 参数和 target 参数就配置好了

完成了上面的配置以后,tabby使用 ClassInfoScanner 来分析类信息和方法信息。

这里定位到 tabby.core.scanner.ClassInfoScanner#run 方法,代码如下,传入的参数为刚才配置的 target ,也就是分析目标类的路径

 `public void run(List<String> paths){
        // 多线程提取基础信息
        Map<String, CompletableFuture<ClassReference>> classes = loadAndExtract(paths);
        transform(classes.values()); // 等待收集结束,并保存classRef
        List<String> runtimeClasses = new ArrayList<>(classes.keySet());
        classes.clear();
        // 单线程提取关联信息
        buildClassEdges(runtimeClasses);
        save();
    }`

首先看 loadAndExtract 方法,它接收类文件的路径作为参数。里面先调用soot提供的API loadBasicClassesloadDynamicClasses ,加载和项目无关,但是必要的类文件。然后使用 getClassesUnder 方法,根据项目文件的路径获取项目中类文件的路径,并使用 loadClassAndSupport 方法将其加载为 SootClass 类型的对象。然后对于每一个 SootClass 类型的对象,调用 collector.collect 方法,收集保存类、方法信息。

 `public Map<String, CompletableFuture<ClassReference>> loadAndExtract(List<String> targets){
        Map<String, CompletableFuture<ClassReference>> results = new HashMap<>();
        Scene.v().loadBasicClasses();

        Scene.v().loadDynamicClasses();
        int counter = 0;
        log.info("Start to collect {} targets' class information.", targets.size());
        for (final String path : targets) {
            for (String cl : SourceLocator.v().getClassesUnder(path)) {
                try{
                    SootClass theClass = Scene.v().loadClassAndSupport(cl);
                    if (!theClass.isPhantom()) {
                        // 这里存在类数量不一致的情况,是因为存在重复的对象
最低0.47元/天 解锁文章
敲代码的老贾
关注
《web安全原理分析与实践》
blalaa的博客
08-27 735
《web安全原理分析与实践》–SQL注入漏洞思考题 1、SQL注入的原理是什么? 攻击者通过浏览器等将恶意SQL语句插入到网站参数中,而网站应用程序未对其过滤,将SQL语句执行,从而获得数据库敏感数据等。 2、SQL注入有几种分类? 按数据类型分:数字型注入 、字符型注入 按服务器返回信息分:报错注入 、盲注 按Mysql数据库分:联合查询注入 、bool注入、sleep注入、宽字节注入、floor注入、updatexml注入、extractvalue注入 其中 bool注入、sleep注入属于盲注 flo
Tabby-全网最详细讲解
飘然渡沧海的博客
03-04 1014
Tabby是一个无限可定制的跨平台终端应用程序,适用于local shells、serial、SSH和Telnet的连接。Tabby是基于TypeScript开发的终端模拟器,可用于Linux、Windows和Mac OS系统。Tabby (前身是 Terminus) 是一个可高度配置的终端模拟器和 SSH 或串口客户端,支持 Windows,macOS 和 Linux集成 SSH,Telnet 客户端和连接管理器集成串行终端定制主题和配色方案完全可配置的快捷键和多键快捷键分体式窗格。
tabby:称为tabby的CAT(代码分析工具)
05-13
tabby TABBY is a Java Code Analysis Tool based on . It can parse JAR/WAR/CLASS files to CPG (Code Property Graph) based on . TABBY是一款针对Java语言的静态代码分析工具。 它使用静态分析框架 作为语义提取工具,将JAR/WAR/CLASS文件转化为代码属性图。 并使用 图数据库来存储生成的代码属性图CPG。 Note: 如果使用中存在什么问题,欢迎在提问! Note: Welcome to new a discussion at about TABBY! #1 使用方法 使用Tabby需要有以下环境: JDK8的环境 可用的Neo4j图数据库 Neo4j Browser 或者其他可以进行Neo4j可视化的工具 具体的使用方法参见: #2 Tabby的适用
跨平台终端工具Tabby安装配置与远程ssh连接Linux_ubuntu详细教程
最新发布
weixin_44976692的博客
08-01 9255
今天和大家分享一下如何在Windows系统使用Tabby,这款强大的开源跨平台终端工具远程ssh连接本地局域网内的Linux服务器从安装到配置的详细流程。Tabby是一个无限可定制的跨平台终端应用程序,支持Windows,linux,macos,用于本地shell,串行,SSH和Telnet连接。兼容PowerShell、WSL、Git-Bash、Cygwin、MSYS2、Cmder和CMD等终端。支持分屏操作,所有快捷键和多键组合都能自己设置。
AI编码助手:Tabby
01-09
一个AI编码助手,旨在帮助开发人员更高效地编写代码。它可以提供代码建议、自动完成和错误检查,从而加速编码过程。Tabby是一项实验性的项目,旨在探索如何将人工智能引入软件开发工作流程中,以提高开发效率。
Tabby连接服务器运行模型代码
dydan_rui的博客
11-25 2543
连接服务器配置环境运行模型代码
Tabby - 基于AI大模型的编程助手
新缸中之脑
04-09 2854
Tabby是一个自托管 AI 编码助手。GitHub Copilot 的开源/本地替代方案。推荐:用快速搭建3D场景。
【五一创作】【远程工具】- Tabby 下载、安装、使用、配置【ssh/Serial】-免安装、解压即用
wkd_007的博客
05-02 7218
远程工具--Tabby的介绍、下载、安装、使用教程,一文弄懂Tabby终端远程软
Tabby's EasyMap1.0 源代码
06-17
Tabby's EasyMap1.0 是一款地图应用的源代码,它可能是一个轻量级...通过深入学习和分析Tabby's EasyMap1.0的源代码,开发者可以掌握以上这些核心技能,并有可能在此基础上进行二次开发或优化,提升应用的功能和性能。
Interface实现原理分析
一个北漂的程序猿
03-04 1630
文章目录Duck Typing什么是鸭子类型Go语言的鸭子类型概述接口类型接口定义实现接口接口和指针nil和non-nil接口值实现原理ifaceeface具体类型转换成接口类型接口与接口的转换断言参考文献 Duck Typing 什么是鸭子类型 图中的大黄鸭是一只鸭子吗?如果从传统角度来看,图中的大黄鸭并非是一只鸭子,因为它即不会叫也不会跑,甚至连生命都没有 首先看下鸭子类型的定义 If i...
Tabby-crx插件
04-03
语言:English 适用于Chrome的高级标签会话管理器 Tabby是Chrome的功能强大的扩展程序,可让您在浏览网络时对会话进行分类和保存。 使用Tabby,您可以在浏览时专注于特定任务(例如,对特定主题的研究),将这些页面另存为单独的会话,并在已保存的会话之间切换。 当您想暂时中断当前活动并暂时探索其他内容时,这可能非常方便。 如果您启用了Chrome的登录功能(请参阅http://goo.gl/HpBmf9了解更多信息),Tabby还能够使用Chrome的同步功能在设备之间保存会话(仅在Chrome的同步限制(http ://goo.gl/fyPBl3)。 如果您在Chrome浏览器中使用了不止一台设备来进行在线浏览,这将非常有用。 Tabby的一些用途包括:●访问您喜欢的视频站点以检查是否有新视频●赶上您喜欢的站点的新闻●存储要在以后进行在线研究时重新访问的页面●以及几乎所有您想定期访问的页面注意:请使用“详细信息”选项卡(http://goo.gl/D7uPm0)中的“反馈”链接而不是在“审阅”页面上发布任何功能请求,错误或问题。 开发者说明:这是Tabby的第一个公开
编译原理实验词法分析实验报告.doc
10-11
编译原理实验词法分析实验报告 本实验报告的主要目的是为了理解词法分析的功能和实现方法,通过对 PL0 语言的词法分析实验,掌握词法分析的基本概念和实现技术。 一、实验目的 本实验的主要目的是为了理解词法...
tabby-超级超级好用的终端软件
qq_44900369的博客
12-10 6424
Tabby是一个无限可定制的跨平台终端应用程序,适用于local shells、serial、SSH和Telnet的连接。Tabby是基于TypeScript开发的终端模拟器,可用于Linux、Windows和Mac OS系统。Tabby (前身是 Terminus) 是一个可高度配置的终端模拟器和 SSH 或串口客户端,支持 Windows,macOS 和 Linux集成 SSH,Telnet 客户端和连接管理器集成串行终端定制主题和配色方案完全可配置的快捷键和多键快捷键分体式窗格。
tabby通过gitee同步配置
Muchuan000的博客
06-27 2119
以下教学是关于tabby同步配置,只需配置好一台设备,其余设备同步即可。
【Flink】 java.lang.NoClassDefFoundError: scala/runtime/java8/JFunction1$mcVI$
qq_32495629的博客
12-08 1593
java.lang.BootstrapMethodError: java.lang.NoClassDefFoundError: scala/runtime/java8/JFunction1$mcVI$sp at com.xxx$$anon$4.createSerializer(lesson1.scala:50) at org.apache.flink.streaming.util.typeutils.FieldAccessor$RecursiveProductFieldAccessor.<ini.
使用Tabby搭建本地化AI编程工具
leonhongliang806的博客
04-26 1152
tabby,搭建AI编程工具
记一款开源免费的终端工具Tabby
weixin_47906106的博客
08-07 1000
Tabby的源代码和编译后的安装包都是托管在Github上,地址为:https://github.com/Eugeny/tabby,点击tags后可以看到所有二进制安装包:安装就不再做过多介绍了,这里以Windows为例,来简单介绍一些Tabby的用法,作为抛砖引玉,读者可以研究一些深入的用法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值