joern 基本使用介绍

已于 2022-03-25 22:58:10 修改
阅读量1.2w 收藏 57
点赞数 19
CC 4.0 BY-SA版权
分类专栏: 程序依赖图 程序语义理解 程序表示 文章标签: joern
于 2021-03-08 11:22:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36281420/article/details/114526209
本文介绍了joern的基本使用,包括安装、启动、生成CPG(代码属性图)、CPG可视化及导出,还有loadCpg、runScript等操作。通过实例展示了如何解析C和Java代码,并提供了相关资源链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

写在前面

看完这个有了基础之后有需要的话可以参考我的另外一篇在python中批量生成CPG等图的文章

参考文章

JOERN后续可能会有更新,如果本文和官方文档有冲突的地方建议参考最新官方文档
joern官方文档
CSDN 破落之实用户的一些文章
破落之实
破落之实

Install

Prerequisites:Java 8 or higher
Link: https://openjdk.java.net/install/
JOERN运行环境需要Java8或者以上版本支持,需要提前安装。在有Java环境之后,最简单的办法就是安装预编译的joern-cli。预编译我理解的就是类似windows下的.exe文件,可以一键安装应用
注意Joern官方目前很活跃,在持续更新,有朋友补充了自己踩的坑:Joern只支持jdk11,不支持其他jdk,大家可以作为参考。博文里面的内容执行起来有问题的话建议大家去看一下最新版的Joern官方文档,博客里面有地址。
这里我直接安装的预编译版本的joern-cli

# Install pre-built binaries of the joern-cli 
git clone https://github.com/ShiftLeftSecurity/joern
cd joern
sudo ./joern-install.sh

在这里插入图片描述

启动joern

如下图,启动joern,进入命令行界面
在这里插入图片描述

生成CPG(常用)

使用importCode生成CPG(最常用,在命令行端解析c/java代码为属性图等)

进入目录/joern-cli/,执行下列指令下载示例程序x42

git clone git@github.com:ShiftLeftSecurity/x42.git
# 上面的git clone命令不好使的话,写下面的
git clone https://github.com/ShiftLeftSecurity/x42.git

在这里插入图片描述

使用importCode指令为程序x42 下的c代码文件创建一个代码属性图

注意:joern解析c语言文件的时候,导入到指令的是folder,而不是.c或者.cpp文件,这里的"./x42/c"内容如下:
在这里插入图片描述
从上图可以看出,./x42/c是一个包含4个.c文件的文件夹

importCode(inputPath="./x42/c"
最低0.47元/天 解锁文章

200万优质内容无限畅学
源码分析工具joern使用教程
SHELLCODE_8BIT的博客
10-05 3479
Joern 是一个对源代码、字节码和二进制代码进行稳健分析的平台。它生成代码属性图,一种用于跨语言代码分析的代码图形表示。代码属性图存储在自定义图数据库中。这允许使用以基于 Scala 的特定领域查询语言制定的搜索查询来挖掘代码。Joern 的开发目标是为静态程序分析中的漏洞发现和研究提供有用的工joern 现在支持的语言:NameBased onMaturityC/C++HighC/C++Highx86/x64GhidraMediumJVMSootMediumLLVM。
Joern cpg 代码属性图查询使用教程
SHELLCODE_8BIT的博客
10-04 1462
测试项目可以用 owasp 的 webgoat、benchmark,这里以 owasp benchmark 的 BenchmarkTest01064.java 为例。
Joern工具安装使用-Ubuntu
weixin_45131189的博客
09-29 1638
本文通过连接Linux服务器是现在Ubuntu下的Joern工具的安装及使用
使用joern导出并可视化代码图结构
最新发布
阿航的博客
06-04 327
Joern 是一个用于对源代码、字节码和二进制代码进行强大分析的平台,支持C/C++,Java等多种编程语言。它生成代码属性图(CPG),即用于跨语言代码分析的代码图形表示。代码属性图存储在自定义的图数据库中。这使得可以通过使用基于 Scala 的领域特定查询语言编写的搜索查询对代码进行挖掘。Joern 的开发目标是为静态程序分析中的漏洞发现和研究提供一个有用的工具。outdir 文件夹下会生成多个dot文件,我们取其中一个(如0-cpg.dot)进行。关于Joern的更多详细查询语句见。
joern使用
jlu_wangqi的博客
06-20 1359
使用joern-tools进行代码分析 通过使用joern-tools提供的命令来寻找bugs和vulnerabilities,前半部分提供了使用joern的简短的命令和更长的查询,这些查询说明了joern的工作原理。后半部分提供了能够让人使用joern-tools工具根据特殊需要进行扩展。 导入代码: ./joern 需要解析的代码目录在neo4j−server.properties文件中更改下面的语句org.neo4j.server.database.location=需要解析的代码目录 在neo4j-
joern使用
qq5132834的专栏
03-11 629
2、分析C/C++源代码生成cpg文件,主要通过。1、创建第一个main.c文件。3、 导入cpg进行分析。4、 querydb使用
joern安装+简单使用
weixin_44019380的博客
08-14 2597
joern安装及简单使用
joern工具的使用
zjgsdxcjy的博客
02-17 937
CPG(代码属性图)是由AST(abstract syntax tree抽象语法树)、CFG(control flow graph控制流图)、PDG(program dependence graph程序依赖图)结构融合而成的图形结构。目前我就了解到这里啦,但是我现在使用joern工具不能检测大数据量的js文件,不知道哪里出了问题。这里的速度就很快了(如果遇到报错,比如对于无法下载github上的东西就翻墙喽,或者直接在本地下载再放到专门的文件夹)用这个命令可以检测到调用的函数和后面包含的代码内容。
Joern工具下载与使用
weixin_43723467的博客
05-15 2207
Joern工具安装与使用
程序分析-Joern工具工作流程分析
qq_44370676的博客
06-12 5319
主要介绍Joern的工作流程。
Joern 开源项目安装与使用指南
gitblog_01115的博客
08-21 981
Joern 开源项目安装与使用指南 1. 项目目录结构及介绍 Joern 是一个用于代码分析的平台,基于 Scala 和 GraphQL。以下是其主要的目录结构概述: joern/ ├── LICENSE.txt - 许可证文件 ├── NOTICE.txt - 版权通知 ├── README.md - 项目快速入门和概览 ├── b...
Joern(版本v1.0.141) 的简易教程
^_^
06-18 2769
这篇文章主要介绍一下Joern v1.0.141的使用,官方文档见这:https://joern.io/docs/。 之前的博客主要集中在讲joern 0.3.1的用法,官方文档:https://joern.readthedocs.io/en/latest/ 由于joern 0.3.1的安装比较繁琐,我没成功安上,倒是新版本很容易地安好了。(可能过个几年,这个新版本也变成了老版本=_=) 言归正传,Joern使用流程比较简单,主要分为两个部分。 导入代码生成代码属性图CPG 首先我们可以从github上找
joern安装手册.docx
01-02
joern安装手册,一个代码漏洞检查工具,对代码属性图进行遍历。《Modeling and Discovering Vulnerabilities with Code Property Graphs》。原文章几个软件都在github上开源了,都是原作者Fabian现在所在的公司ShiftLeft Security发布的,分别有code property graph、fuzzyc2cpg和joern三个关联的项目
使用 Joern 进行漏洞挖掘
有价值炮灰
09-18 2477
使用 Joern 进行静态分析和代码审计
Joern在ubuntu上的从零开始安装和使用
m0_52993129的博客
05-27 1010
在做一些关于代码分析的项目的过程中,需要使用Joern,之前从来没有用过,所以也基本上算是从零开始安装和使用
Deepwukong项目joern安装使用教程
wangyifan4576的博客
09-03 765
在将joern的源码下载后,复制到wukong项目的根目录下。该项目使用老版本的joern,用来解析c和c++语言,构建程序的程序依赖图PDG。该工具生成的是nodes.csv和edges.csv 文件。至此,如果一切顺利的话,那么你将成功解析项目中data下面的c和cpp文件。edges.csv是这样的:主要包含边的类型以及起始和结束位置。joern 是直接在 README.md 中给出的地址下载的源码。其中nodes.csv是这样的:主要包含节点的一些属性。
joern 学习笔记
weixin_46759000的博客
05-01 643
代码分析工具 joern的学习笔记和一些使用经验。
从分析一个简单的程序入门joern的用法
^_^
06-26 5267
官网给了一个简单的教程,这篇文章就是按github上的文档来实践的。 网址:https://github.com/ShiftLeftSecurity/joern/blob/master/docs2/docs/quickstart.mdx 这个工具的作者最近更新频率好高。太强了。 文章目录获取样本程序打开joern的shell导入代码查询代码属性图关闭工程 获取样本程序 这里用joern作者提供的一个样本程序叫x42 $ git clone git@github.com:ShiftLeftSecurity.
2024年网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1646
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
Windows Joern
03-26
### 安装和使用 Joern 工具于 Windows 平台 Joern 是一种用于分析源代码的安全工具,它通过构建 Code Property Graph (CPG) 来支持复杂的静态代码分析。以下是关于如何在 Windows 上安装并使用 Joern 的详细说明。 #### 系统需求 为了成功运行 Joern,在 Windows 环境下需要满足以下条件: - Java Development Kit (JDK),版本建议为 8 或更高[^3]。 - Docker Desktop 应用程序已正确配置并启动,因为 Joern 使用容器化环境来执行其功能[^4]。 #### 步骤一:Docker 配置 由于 Joern 基于 Docker 构建,因此需先确认 Docker 是否正常工作以及资源分配是否充足。打开 PowerShell 终端输入命令 `docker --version` 检查 Docker 版本号,并确保服务正在运行。如果尚未安装 Docker,则可以从官方页面下载适合 Windows 的版本[^5]。 #### 步骤二:克隆 Joern 存储库 利用 Git 将 Joern 的最新代码仓库复制至本地机器上。此操作可通过如下指令完成: ```bash git clone https://github.com/joernio/joern.git cd joern ``` #### 步骤三:初始化与更新子模块 进入项目目录后,还需同步必要的子模块数据以获取全部所需组件: ```bash git submodule update --init --recursive ``` #### 步骤四:启动 Joern 容器 借助脚本来简化设置过程,只需简单调用即可加载预定义镜像并开启交互模式: ```bash ./joern-cli/bin/joern ``` 上述命令会自动拉取所需的 Docker 映像并将控制权交给内部 shell[^6]。 #### 数据导入实例演示 假设有一个 C/C++ 文件名为 test.c ,可以通过下面的方式将其转换成图结构形式以便后续查询处理: ```bash code2cpg /path/to/test.c ``` #### 查询示例 对于识别特定依赖关系的任务,比如检测是否存在 Spring Framework 关联的情况,可采用类似这样的语句实现自动化判断逻辑: ```scala cpg.dependency.name.matches(".*spring.*").l.exists() // 返回布尔值表示匹配状态 ``` 以上即完成了基本的操作流程介绍,具体更多高级特性请参阅官方文档进一步学习探索[^7]。
评论 26
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值