FlowDroid架构剖析

最新推荐文章于 2024-08-12 08:41:16 发布
最新推荐文章于 2024-08-12 08:41:16 发布
阅读量1.8k 收藏 13
点赞数 3
分类专栏: Soot - A Java opt. framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37206105/article/details/119334544
版权

最近算是把FlowDroid源代码翻了一遍,并非通读,而是把整个系统的逻辑/设计整理了一下。这里稍微记录一下。由于FlowDroid能够分析Android程序,所以有一部分代码是对Android相关领域做适配,由于个人目前的工作对Android静态分析还不是很涉及,所以在分析FlowDroid源码时省略了Android相关的适配代码,主要是作通用Java相关的分析。

FlowDroid

几大组件:

  • EntryPointCreator:使用EntryPointCreator指定分析的入口
  • SourceSinkManager:给定一个Stmt, 确定Source和Sink(对应SourceInfo,SinkInfo)
  • NativeCallHandler:
    • 默认使用 DefaultNativeCallHandler
  • TaintPropagationWrapper:定义不应该被直接分析的类、方法。相反,分析结果取自外部模型中的方法摘要
    • 一般通过IInfoflow.setTaintWrapper(…) 来配置
  • Aliasing: 别名控制器
    • IAliasingStrategy为别名策略: FlowSensitive(默认), PtsBased(andersen式), Lazy
    • 以 BackwardsInfoflowProblem 为问题的求解器
  • IFDSSolver:IFDS求解器
    • 前向污点传播求解:InfoflowProblem
    • 后向别名分析: BackwardsInfoflowProblem
  • PathReconstructor:污点传播路径复现
  • IPC Manager 是安卓相关,不予考虑

Infoflow

配置ITaintPropagationWrapper的接口,Infoflow类会继承该接口。

interface ITaintWrapperDataFlowAnalysis {
    // 配置TaintPropagationWrapper
    void setTaintWrapper(ITaintPropagationWrapper taintWrapper);
    ITaintPropagationWrapper getTaintWrapper();
}

*IInfoflow

interface soot.jimple.infoflow.IInfoflow extends ITaintWrapperDataFlowAnalysis {
    // 配置InfoflowConfiguration的接口
    InfoflowConfiguration getConfig();
    void setConfig(InfoflowConfiguration config);
    
    // 用于配置NativeCallHandler
    void setNativeCallHandler(INativeCallHandler handler);
    
    // 用于信息流分析的前后分析行为植入
    void setPreProcessors(Collection<? extends PreAnalysisHandler> preprocessors);
    void setPostProcessors(Collection<? extends PostAnalysisHandler> postprocessors);
    
    // 计算信息流(信息流分析)的主入口接口
    void computeInfoflow(String appPath, 
                         String libPath, 
                         IEntryPointCreator entryPointCreator,
						 List<String> sources, 
                         List<String> sinks);
	
    void computeInfoflow(String appPath, 
                         String libPath, 
                         Collection<String> entryPoints,
						 Collection<String> sources, 
                         Collection<String> sinks);
    
    void computeInfoflow(String appPath, 
                         String libPath, 
                         String entryPoint, 
                         Collection<String> sources,
						 Collection<String> sinks);
	
    void computeInfoflow(String appPath, 
                         String libPath, 
                         IEntryPointCreator entryPointCreator,
						 ISourceSinkManager sourcesSinks);
    
    void computeInfoflow(String appPath, 
                         String libPath, 
                         String entryPoint, 
                         ISourceSinkManager sourcesSinks);
    
    // 获取分析结果
    InfoflowResults getResults();
    
    // 是否分析结果可用
    boolean isResultAvailable();
    
    // 配置 结果可用时的回调函数
    void addResultsAvailableHandler(ResultsAvailableHandler handler);
    
    // 用于配置底层Soot
    void setSootConfig(IInfoflowConfig config);
    
    // 用于配置 Path reconstructor 算法
    void setPathBuilderFactory(IPathBuilderFactory factory);
    
    // 获取已经收集的Source点
    Set<Stmt> getCollectedSources();
    
    // 获取已经收集的Sink点
    Set<Stmt> getCollectedSinks();
    
    // 主线程(如GUI)用于控制、中断分析
    void abortAnalysis();
    
    // 污点前向传播时调用
    void setTaintPropagationHandler(TaintPropagationHandler handler);
    
    // 别名后向传播时调用
    void setBackwardsPropagationHandler(TaintPropagationHandler handler);
    
    // 配置内存管理器
    void setMemoryManagerFactory(IMemoryManagerFactory factory);
    
    // 配置Executor
    void setExecutorFactory(IExecutorFactory executorFactory);
    
    // 配置污点传播规则管理器
    void setPropagationRuleManagerFactory(IPropagationRuleManagerFactory ruleManagerFactory);
    
    // Android IPC相关, 不需要关注
    void setIPCManager(IIPCManager ipcManager);
}

class soot.jimple.infoflow.Infoflow extends AbstractInfoflow {
    // 分析纯Java代码,无任何APKs或者Android SDK依赖
    public Infoflow() { ... }
    
    // 分析APK文件
    public Infoflow(String androidPath, boolean forceAndroidJar) { ... }
    
    // 分析APK文件
    public Infoflow(String androidPath, 
                    boolean forceAndroidJar, 
                    BiDirICFGFactory icfgFactory) { ... }
}

EntryPointCreator (√)

interface IEntryPointCreator {

	// 生成dummy Main方法,它会调用给定列表中的所有方法
	SootMethod createDummyMain();

	void setSubstituteCallParams(boolean b);
    
	void setSubstituteClasses(List<String> l);

	Collection<String> getRequiredClasses();

	Collection<SootMethod> getAdditionalMethods();
    
	Collection<SootField> getAdditionalFields();

	SootMethod getGeneratedMainMethod();
}
  • BaseEntryPointCreator: 创建一个空的dummyMainClass, dummyMainMethod
    • DefaultEntryPointCreator 任意顺序处理entry point method
      • 通过传入的函数签名,往dummyMainMethod中添加对这些函数签名的调用
      • 调用顺序任意
    • SequentialEntryPointCreator
      • 调用顺序就是一个列表
    • 其它的EntryPointCreator都是android相关的

IInfoflowConfig

soot.jimple.infoflow.config.IInfoflowConfig 用于配置FlowDroid的InfoflowConfiguration和Soot的Options

public interface IInfoflowConfig {
    void setSootOptions(Options options, InfoflowConfiguration config);
}

// 比如
// 配置污染路径:能够得到比较详细的污染路径
config.getPathConfiguration().setPathReconstructionMode(InfoflowConfiguration.PathReconstructionMode.Precise);

InfoflowManager

最重要的两次实例化:

  • 一次是forward 前向污点分析时实例化
  • 一次是backward 后向别名分析时实例化
class InfoflowManager {
    // 配置Infoflow
    InfoflowConfiguration config;
    // IFDS/IDE求解器 (forward: source -> sink)
    IInfoflowSolver forwardSolver;
    // ICFG, 流程间控制流图
    IInfoflowCFG icfg;
    // SourceSinkManager
    ISourceSinkManager sourceSinkManager;
    // 污点传播Wrapper
    ITaintPropagationWrapper taintWrapper;
    // 类型工具
    TypeUtils typeUtils;
    // 快速Hierarchy
    FastHierarchy hierarchy;
    // AccessPath 工厂类
    AccessPathFactory accessPathFactory;
    // 全局污点管理
    GlobalTaintManager globalTaintManager;
    // 别名
    Aliasing aliasing;
}

污染传播相关

IInfoflowSolver
public interface soot.jimple.infoflow.solver.IInfoflowSolver {
    // 当求解时,调度给定的边。如果边早已经被处理过,返回false
    boolean processEdge(PathEdge<Unit, Abstraction> edge);
    
    // 通过incoming抽象,给出方法的summary   
    Set<Pair<Unit, Abstraction>> endSummary(SootMethod m, Abstraction d3);
    
    void injectContext(IInfoflowSolver otherSolver, 
                       SootMethod callee, 
                       Abstraction d3, 
                       Unit callSite,
                       Abstraction d2, 
                       Abstraction d1);
    void cleanup();
    void setFollowReturnsPastSeedsHandler(IFollowReturnsPastSeedsHandler handler);
    void setMemoryManager(IMemoryManager<Abstraction, Unit> memoryManager);
    IMemoryManager<Abstraction, Unit> getMemoryManager();
    void setPredecessorShorteningMode(PredecessorShorteningMode mode);
    long getPropagationCount();
    void solve();
    void setSolverId(boolean solverId);
    // 求解器对应的IFDS Problem
    AbstractInfoflowProblem getTabulationProblem();
    void setMaxJoinPointAbstractions(int maxJoinPointAbstractions);
    void setMaxCalleesPerCallSite(int maxCalleesPerCallSite);
    void setMaxAbstractionPathLength(int maxAbstractionPathLength);
    void setPeerGroup(SolverPeerGroup solverPeerGroup);
    void terminate();
}
ISourceSinkManager
// SourceSinkManager用于告诉是否一条语句包含Source或者Sink
interface soot.jimple.infoflow.sourcesSinks.manager.ISourceSinkManager {
    // 初始化
    void initialize();
    // 看是否一个Stmt包含一个Source
    SourceInfo getSourceInfo(Stmt sCallSite, InfoflowManager manager);
    // 看是否一个Stmt包含一个Sink
    SinkInfo getSinkInfo(Stmt sCallSite, InfoflowManager manager, AccessPath ap);
}

ISourceSinkManager的具体实现:

  • BaseSourceSinkManager
  BaseSourceSinkManager implements ISourceSinkManager, IOneSourceAtATimeManager {
  • DefaultSourceSinkManager
    默认 SourceSinkManager,调用computeInfoflow时通过传入sources, sinks集合会默认创建一个DefaultSourceSinkManager

    也可提供一个ISourceSinkDefinitionProvider实例作为SourceSink的定义源
  DefaultSourceSinkManager implements ISourceSinkManager {
  • MethodBasedSourceSinkManager 基于方法的SourceSinkManager, 用于用户扩展的类,给定一个callSite, 我们只需要决定它的targetMethod的sourceSink相关信息
  MethodBasedSourceSinkManager implements ISourceSinkManager {
    • EmptySourceSinkManager 空SourceSinkManager
    EmptySourceSinkManager extends MethodBasedSourceSinkManager {
  • SummarySourceSinkManager: 可使用它来生成方法的Summaries。
    SummaryGenerator就使用它来生成方法的污点摘要
  SummarySourceSinkManager implements ISourceSinkManager {
ISourceSinkDefinitionProvider

可用于给ISourceSinkManager类提供source,sink的定义

public interface soot.jimple.infoflow.sourcesSinks.definitions.ISourceSinkDefinitionProvider {
    Set<? extends ISourceSinkDefinition> getSources();
    Set<? extends ISourceSinkDefinition> getSinks();
    Set<? extends ISourceSinkDefinition> getAllMethods();
}
  • XMLSourceSinkParser: 测试类XmlParserTest查看使用
  • FilteringSourceSinkDefinitionProvider
  • NullSourceSinkDefinitionProvider
PropagationRuleManager

IPropagationRuleManagerFactory(只有一个子类DefaultPropagationRuleManagerFactory) 用于创建 PropagationRuleManager

InfoflowProblem实例化时需要传入IPropagationRuleManagerFactory

// 用于管理传播规则
soot.jimple.infoflow.problems.rules.PropagationRuleManager

ITaintPropagationWrapper

定义不应该被直接分析的类、方法。相反,分析结果取自外部模型中的方法摘要(which improves performance and helps if the sources are not available)

interface soot.jimple.infoflow.taintWrappers.ITaintPropagationWrapper {
    void initialize(InfoflowManager manager);
    // 检查调用语句用于黑盒污点传播, 这能让我们手动在方法调用间传播污点, 而不要求分析深入到方法内
    Set<Abstraction> getTaintsForMethod(Stmt stmt, Abstraction d1, Abstraction taintedPath);
    // 告诉分析器不要在callee内部传播
    boolean isExclusive(Stmt stmt, Abstraction taintedPath);
    // 被摘要的方法通过给定抽象生成的可能的别名
    Set<Abstraction> getAliasesForMethod(Stmt stmt, Abstraction d1, Abstraction taintedPath);
    boolean supportsCallee(SootMethod method);
    boolean supportsCallee(Stmt callSite);
    int getWrapperHits();
    int getWrapperMisses();
}

soot.jimple.infoflow.cmd.MainClass#initializeTaintWrapper方法中有ITaintPropagationWrapper的各种实例化方式,可供参考

  • IReversibleTaintWrapper
    • SummaryTaintWrapper: 通过IMethodSummaryProvider提供Summary, 使用StubDroid创建的方法摘要
      • ReportMissingSummaryWrapper
    • TaintWrapperList: 遍历ITaintPropagationWrapper列表list,如果list中有一个返回非空污点集合,此集合就被使用
    • TaintWrapperSet: 遍历ITaintPropagationWrapper集合Set, 将所有返回的非空污点集合作并集
  • AbstractTaintWrapper
    • *EasyTaintWrapper
    • IdentityTaintWrapper: 如果receiver object或者函数调用的入参有污点,那么返回值也被污染
    • RecordingTaintWrapper: 用于记录统计数据, 从不会返回任何污点信息
  • SummaryGenerationTaintWrapper: 在summary构造的时候使用

IMethodSummaryProvider

// 能提供方法摘要的公共类接口
interface IMethodSummaryProvider {
    Set<String> getLoadableClasses();
    
    // 支持直接返回方法summary的类
    Set<String> getSupportedClasses();
    // 是否支持提供该类的方法summary
    boolean supportsClass(String clazz);
    // 
    default ClassMethodSummaries getMethodFlows(SootClass sootClass, String methodSubSignature) {
        return getMethodFlows(sootClass.getName(), methodSubSignature);
    }
    ClassMethodSummaries getMethodFlows(String className, String methodSignature);
    ClassSummaries getMethodFlows(Set<String> classes, String methodSignature);
    ClassMethodSummaries getClassFlows(String clazz);
    boolean mayHaveSummaryForMethod(String subsig);
    ClassSummaries getSummaries();
    boolean isMethodExcluded(String className, String subSignature);
}
  • XMLSummaryProvider: 从外部xml文件中加载Summary
    • LazySummaryProvider: 懒加载summary
    • EagerSummaryProvider: 实例化时立即load summary
  • MemorySummaryProvider: 从内存数据结构中加载Summary
  • MergingSummaryProvider: IMethodSummaryProvider的组合

工具类

SootMethodRepresentationParser

  • 解析方法签名
Canliture
关注
专栏目录
java项目案例分析源码-FlowDroid:FlowDroid静态数据流跟踪器
06-05
java项目案例分析源码 FlowDroid 数据流分析工具 该存储库托管 FlowDroid 数据流分析工具。 FlowDroid 静态计算 Android 应用程序和 Java 程序中的数据流。 其目标是为研究人员和从业人员提供一个工具和库,他们可以在此基础上开展自己的研究项目和产品实施。 我们很高兴看到 FlowDroid 现在广泛应用于学术界和工业界。 获取工具 您可以使用 Maven 自己构建 FlowDroid,也可以从 Github 上下载一个版本。 下载发行版 包含我们正式发布的每个版本的所有预构建 JAR 文件。 我们建议使用最新和最好的版本,除非您有特定问题阻止您这样做。 在这种情况下,请告诉我们(请参阅下面的联系方式)。 要快速开始使用 FlowDroid,请查看下面的“使用数据流跟踪器”。 如果您只想使用命令行工具,您只需要“soot-infoflow-cmd-jar-with-dependencies.jar”文件。 使用 Maven 构建工具 从 2.5 版开始,FlowDroid 使用 Maven 构建。 用 EXPORT ANDROID_JARS=<An
一文了解如何使用移动应用安全组件Soot和Flowdroid
dzqxwzoe的博客
02-18 256
Android作为一个开放的移动应用平台,无论是系统还是APK应用面临严峻的安全问题,针对应用安全面临的威胁,检测技术也在不断演进,但是基于静态分析的方式始终绕不过Soot跟FlowDroid,前者是一个java语言分析工具,同时也支持APK文件的分析,后者则是污点分析工具,通过生成Graph追踪污点传输路径。下面针对这两个进行介绍介绍,帮助读者能快速入门。soot是java优化框架,提供4种中间代码来分析和转换字节码。
FlowDroid安装与使用指南
最新发布
gitblog_00513的博客
08-12 404
FlowDroid安装与使用指南 FlowDroidFlowDroid Static Data Flow Tracker项目地址:https://gitcode.com/gh_mirrors/fl/FlowDroid 一、项目目录结构及介绍 FlowDroid是一个针对Android应用的静态污点分析工具,它强调上下文、流、字段、对象敏感以及生命周期感知特性。以下是项目克隆后的基础目录结构及其简...
FlowDroid源代码
11-03
FlowDroid源代码,包含了运行FlowDroid所需的其他源代码,jasmin、soot、heros,对于Android静态污点分析帮助很大,
探索 FlowDroid:静态代码分析的强大工具
gitblog_00018的博客
04-25 437
探索 FlowDroid:静态代码分析的强大工具 FlowDroidFlowDroid Static Data Flow Tracker项目地址:https://gitcode.com/gh_mirrors/fl/FlowDroid 是一个开源的、基于静态分析的 Android 应用程序漏洞检测工具。由 Secure Software Engineering 团队开发,它旨在帮助开发者发现并修复...
flowdroid源码解析和使用
xiao_bai_12138的博客
11-29 1240
flowdroid使用
FlowDroid Status
cyy089074316的专栏
12-16 2830
Environment: 4  Intel(R) Xeon(R) CPU E5-2603 0 @ 1.80GHz 16GB  with -Xmx14000M -Xms12000M  Oracle java 1.7 x64  Ubuntu 14.04 LTS  time java -Xmx14000M -Xms12000M -cp soot-trunk.jar
移动安全工具-FLowDroid
深度安全实验室
07-14 315
FlowDroid
SQLServer内核架构剖析
02-27
火龙果软件工程技术中心 我们做管理软件的,主要核心就在数据存储管理上。所以数据库设计是我们的重中之重。为了让我们的管理软件能够稳定、可扩展、性能...所以,今天,我想带领大家一起剖析一下数据库的架构,来探
云存储基础架构剖析
02-26
云存储基础架构引入新的架构,能够支持为大量潜在用户提供不同水平的服务,以及地理上分散的存储容量。了解云存储架构的关键架构属性—从数据保护和完整性到存储优化。以目前数据增长的速度来看,云存储越来越流行...
汽车摄像头模块的三种电源架构分析
01-13
随着汽车摄像头技术的发展,其分辨率、动态范围和帧速率越来越高,电源架构需要根据具体的用例需求进行调整。在本文中,我将回顾三种可用于为汽车摄像头模块供电的策略: 全离散 全集成 部分集成 本文重点介绍小...
Android代码-FlowDroid
08-06
FlowDroid Data Flow Analysis Tool This repository hosts the FlowDroid data flow analysis tool. FlowDroid statically computes data flows in Android apps and Java programs. Its goal is to provide researchers and practitioners with a tool and library on which they can base their own research projects and product implementations. We are happy to see that FlowDroid is now widely used in academia as well as industry. Obtaining The Tool You can either build FlowDroid on your own using Maven, or you can
FlowDroid生成Android应用程序的函数调用图
12-14
FlowDroid的静态分析方法来分析android应用程序,描绘出android应用程序的函数调用图
FlowDroid最新版源码分享2019
02-20
依靠强大的maven仓库,搭建十分简单,只需要用到soot-infoflow,soot-infoflow-android两个文件,其他类似soot,heros之类的文件全部靠maven。
Flowdroid工作空间搭建
01-10
我摸索了一下,通过各种方法,在win10 eclipse上搭了一下flowdroid的工作区,如果是相同的环境,应该直接就可以用了。
架构演进:汽车之家架构分析.zip
06-17
架构演进:汽车之家架构分析》是一份深入探讨汽车之家平台架构发展的学习资料,它涵盖了从早期到现代的架构变迁过程,旨在为IT专业人士提供一个理解大型网站架构演进的实例。汽车之家作为国内知名的汽车行业信息...
FlowDroid安装与调试
网络安全学习
01-29 5219
在网上找了好多资料,安装并运行FlowDroid,碰到了各种问题,网上也提供了多种解决方案,但是没有没有找到完全可以解决我碰到的问题的,也有一些提供的解决方案在我的安装过程中不成功,然后自己摸索,最后成功运行。下面列出我的安装步骤以及碰到的问题和我使用的解决方案。 参考了http://www.cnblogs.com/zlz099/p/6972805.html 1、首先 flowdroi
使用FlowDroid生成Android应用程序的函数调用图
热门推荐
liu3237的专栏
09-30 1万+
提到Android应用程序静态分析,就不能不提Flowdroid。该工具是目前使用很广泛的Android应用程序数据流分析工具。它基于强大的Java分析工具Soot开发,提供了许多有用的功能。具体的介绍和使用帮助可以访问开发团队的网站 点这里。然而有时候我们并不需要使用Flowdroid的全部功能,例如有时候我们只想要一个APK里面的函数调用图。当然我们可以使用androguard(最近好像又更新了
使用Flowdroid生成Android程序API调用序列
qq_35766691的博客
03-19 3375
使用Flowdroid生成Android程序API调用序列 Flowdroid是一个开源项目,可以对Apk进行静态分析,提取API调用序列。源码地址为Flowdroid项目 安装过程按照这篇文章 Flowdroid安装进行就可以了。 下面主要介绍如何使用Flowdroid进行调用序列的提取,Flowdroid中最主要的一个类是 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值