Joern ast json parse

最新推荐文章于 2024-08-24 09:30:51 发布
最新推荐文章于 2024-08-24 09:30:51 发布
阅读量1k 收藏 4
点赞数
分类专栏: 工具使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/khy123khy/article/details/107353290
版权

文章目录


在joern中可以通过运行脚本来对生成的CPG进行分析,首先我们提取出其AST。 

cpg.runScripts("graph/ast-for-funcs-dumps.sc")

这时会在当前目录下,也就是 joern-cli/$ 下生成一个 ast-for-funcs.json 的文件。然后我们用Python来对此文件进行分析。

首先我们要弄清楚,AST的数据结构是怎么构建的?我们输入的是每个函数实体,joern会将这个函数的内部调用函数组成的子AST。在生成的json文件中,节点或边是以 id: 的形式出现的。即io.shiftleft.codepropertygraph.generated.edges io.shiftleft.codepropertygraph.generated.nodes

对于其内部的每个函数来说,具体数据结构如下 :

一个json文件通过 load() 方法载入后,会转换成一个字典。而这个字典是一个嵌套的结构,在第一层只有一个key即是 functions,value是一个列表。这个列表里存着的元素也是字典。字典的数目即是生成的子AST的数目。

每个字典有以下几种键值对。

{
"function":"gwy_resource_class_mkdir", #此函数的函数名
"id":"io.shiftleft.codepropertygraph.generated.nodes.Method@7", #此节点的类型 .nodes表示节点 .Method表明节点类型是一个调用的方法 @7表明编号
"AST":[
{
"id":"io.shiftleft.codepropertygraph.generated.nodes.MethodParameterIn@8", #表明这第一个节点类型是 MethodParameterIn,@8 表明编号
"edges":[
{
"id":"io.shiftleft.codepropertygraph.generated.edges.Ast@191a2",
"in":"io.shiftleft.codepropertygraph.generated.nodes.MethodParameterIn@8",
"out":"io.shiftleft.codepropertygraph.generated.nodes.Method@7",
}], #每个节点的边用列表来进行存储,其中每条用字典来存储,其键值对有三对 key:边的id,源节点,终节点,value都是id。
"properties":[
    {
        "key":"NAME",
        "value":"klass"
    },
    {
        "key":"COLUMN_NUMBER",
        "value":"25"
    },
    {
        "key":"ORDER",
        "value":"1"
    },
    {
        "key":"LINE_NUMBER",
        "value":"1"
    },
    {
        "key":"EVALUATION_STRATEGY",
        "value":"BY_VALUE"
    },
    {
        "key":"TYPE_FULLNAME",
        "value":"GwyResourceClass *"
    }
]#每个节点还有几个性质,每个性质是一个字典,可能为了方便用key和value键值对来进行查询,不建在一个字典内。分别是name、column_number、line_number、order、evaluation_strategy、type_fullname。name表示该节点本身的string 表示;type_fullname表示该节点的类型的全称(这个节点是变量,即变量的类型);column_number、line_number是表示该节点的位置、evaluation_strategy(这个不知道是什么)。每个节点的性质不是固定的,某些性质有些节点有但有些节点没有。
}
...
{}
] #这是此函数的AST结构,分别由各节点的字典组成
}

节点有但有些节点没有。
}

{}
] #这是此函数的AST结构,分别由各节点的字典组成
}
匡小萌
关注
专栏目录
joern安装手册.zip
09-06
Joern是一款强大的源代码分析工具,主要用于静态分析Java和C/C++程序的控制流和数据流特性。它基于图数据库,能够对大型软件项目进行深入的结构和安全分析。在这个"joern安装手册.zip"文件中,我们预计将找到有关...
joernAST、CFG、CDG、DDG、PDG、CPG
^_^
01-07 9744
之前写了一点joern的博客,发现很多人在问我怎么画图。确实,用joern这个工具的话,画代码属性图是这个工具的亮点了。 这篇文章怎么说呢,也可以看作是对官方文档的翻译和实现吧。 能搜到这篇文章,想必应该是搜到上面的一个图的名字进来的。就不详细介绍每个图了,就简单介绍下缩写的含义。 AST:abstract syntax tree CFG:control flow graph CDG:Control Dependence Graphs DDG:Data Dependence Graphs PDG:Prog
Joern生成各种图
apple_53406386的博客
04-02 1522
Joern基本使用
JSONAST开源项目教程
最新发布
gitblog_00638的博客
08-24 849
JSONAST开源项目教程 json-to-astJSON AST parser项目地址:https://gitcode.com/gh_mirrors/js/json-to-ast 项目介绍 本项目是基于GitHub的开源工具——json-to-ast,由开发者vtrushin维护。JSON to AST旨在将JSON数据转换为抽象语法树(AST),这对于解析JSON结构、进行语法分析或在编...
transform code to graph with joern
khy123khy的博客
07-16 706
文章目录AST 现在用joern来构建代码属性图。joern可以生成AST,CFG,PDG,然后将这三者全部融合在一起。对于GNN来说,输入需要各个节点的属性以及节点之间的关系。因此,下面有两种方式来用joern构建,一种是直接用其生成的CPG来进行处理;第二种方式是分别将生成的三种结构进行组合。 用joern生成的这三种图的存储方式都可以通过json对象或者json string的形式进行存储。(那么这三种结构中的节点,是否能够统一联系在一起?) ASTjoern可以将函数解析出来生成AST,这个AS
joern的使用
jlu_wangqi的博客
06-20 1228
使用joern-tools进行代码分析 通过使用joern-tools提供的命令来寻找bugs和vulnerabilities,前半部分提供了使用joern的简短的命令和更长的查询,这些查询说明了joern的工作原理。后半部分提供了能够让人使用joern-tools工具根据特殊需要进行扩展。 导入代码: ./joern 需要解析的代码目录在neo4j−server.properties文件中更改下面的语句org.neo4j.server.database.location=需要解析的代码目录 在neo4j-
程序分析-Joern工具工作流程分析
qq_44370676的博客
06-12 4463
主要介绍Joern的工作流程。
ShiftLeft 学习笔记(三)
water_likly的博客
06-05 1338
在How to Query a CPG 章节中,提到了简单地对代码属性图进行查询的操作,本节对查询操作进行深入的学习。 How to Query a CPG 一旦Ocular为您的应用程序创建了一个代码属性图(CPG),您就可以使用查询来仔细检查CPG(以及您的应用程序)。 有两种类型的查询:默认和自定义。 注意:在研究数据流时,我们建议使用策略来代替查询。本文的最后将包含关于查询和策略之...
joern2sarif:将JoernOcular json转换为SARIF
03-07
介绍这是一个实用程序脚本,用于将 / 生成json文件转换为格式。用法sudo pip install joern2sarifjoern2sarif -i findings.json -o joern-findings.sarif 示例用法执照阿帕奇2.0
joern安装手册.docx
01-02
Joern是一款用于代码漏洞检查的工具,它基于代码属性图(Code Property Graphs, CPG)进行遍历和分析,帮助发现潜在的安全漏洞。Joern的安装过程涉及到多个步骤,包括JDK7、Neo4J、Gremlin以及Joern自身库的安装。...
python-joern-0.3.1,优质资源配备齐全下载解压即可使用,具体使用过程详见主页文章
07-22
Python-joern-0.3.1 是一个用于分析源代码安全性的工具,结合了Python的易用性和Joern的强大功能。Joern是源自德国CISPA(Cyber Security in the Public Interest)的研究项目,主要用于大规模软件源代码的结构化...
CSS代码属性大全
04-17
CSS代码属性大全,并不是文档,是自己总结的常用属性,看起来方便些,希望对你们有帮助
AST20114_1314 Test
08-13
### AST20114Data Communication and Theory Midterm Test Analysis #### Overview The given document is part of a midterm test for the course AST20114, which focuses on data communication and theory. The...
代码属性图之-joern简易教程
water_likly的博客
04-20 4659
Joern实例分析 在Joern中发现了一个实例教程,本着学习的态度,尝试复现这个过程,以增加自己的经验!严谨转载,欢迎讨论! 1 正常安装joern以及neo4j。 2 建议下载教程中的VLC版本。 cd $JOERN #joern目录 mkdir tutorial; cd tutorial #创建并转入tutorial wget http://download.videolan....
怎样在Ubuntu 22.04上使用Joern处理Java源码
qysh123的专栏
12-22 1094
经过网友的提醒,我发现现在的Joern确实可以处理Java源码了,这里简单介绍一下,在一台新的Ubuntu 22.04系统中怎么使用Joern
joern 基本使用介绍
热门推荐
qq_36281420的博客
03-08 1万+
这里joern写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何
java的ast树分析以及token的提取
梦平的博客
05-16 1411
前言 大部分内容借鉴了前辈的经验,在此基础之上我有进行了适合自己当前代码情况的改进。 主要的改进就是将树中token输出了出来,然后用自己的smithwaterman算法进行相似度的计算。 虽然注释不多,但是代码整体比较容易理解。 代码 import javalang from javalang.ast import Node import os from anytree import AnyNode, RenderTree # 代码数据预处理 programfile = open("C:/Users/6
joern代码属性图简介
我爱写报告的博客
12-13 5018
抽象语法树 抽象语法树是程序编译过程中形成的对于程序源码的中间表示,然而,直接从编译器获取抽象语法树势必要搭建程序的编译环境。对于一些程序来说这将是一个复杂的过程,并且对于一些旧程序,很可能找不到它们需要的编译工具和头文件。因此joern没有采取从编译器获取AST的方法,而是利用了一个基于island grammar的,直接从源码抽取AST的分析器。joern的分析器基于分析器生成工具ANTLR
从分析一个简单的程序入门joern的用法
^_^
06-26 3964
官网给了一个简单的教程,这篇文章就是按github上的文档来实践的。 网址:https://github.com/ShiftLeftSecurity/joern/blob/master/docs2/docs/quickstart.mdx 这个工具的作者最近更新频率好高。太强了。 文章目录获取样本程序打开joern的shell导入代码查询代码属性图关闭工程 获取样本程序 这里用joern作者提供的一个样本程序叫x42 $ git clone git@github.com:ShiftLeftSecurity.
如何用joern生成AST和cFG
05-16
Joern 是一个用于 C/C++ 代码分析的工具,可以生成 AST 和 cFG,具体操作步骤如下: 1. 安装 Joern 工具,可以参考官方文档进行安装:https://joern.readthedocs.io/en/latest/installation.html 2. 准备要分析的 C/C++ 代码,可以是单个文件或整个项目 3. 运行 Joern 命令,生成 AST 和 cFG: - 生成 AST:使用命令 `joern-lookup -g "ast" <path/to/source/file>`,其中 `<path/to/source/file>` 为要分析的源代码文件路径,生成AST 结果会被输出到标准输出 - 生成 cFG:使用命令 `joern-lookup -g "cfg" <path/to/source/file>`,其中 `<path/to/source/file>` 为要分析的源代码文件路径,生成的 cFG 结果会被输出到标准输出 4. 可以将输出结果保存到文件中,使用命令 `joern-lookup -g "ast" <path/to/source/file> > ast.txt` 或 `joern-lookup -g "cfg" <path/to/source/file> > cfg.txt` 需要注意的是,生成AST 和 cFG 结果可能会比较复杂,需要一定的代码分析能力进行解读。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值