【软件分析/静态程序分析学习笔记】7.指针分析(Pointer Analysis)入门

最新推荐文章于 2023-09-11 11:13:26 发布
最新推荐文章于 2023-09-11 11:13:26 发布
阅读量3.0k 收藏 8
点赞数 11
分类专栏: 静态分析学习笔记 文章标签: 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhang971105/article/details/109538402
版权

写在前面的话

本渣有幸成为南京大学软件学院研究生,在前往仙林校区蹭课的时候偶然发现了这门宝藏课程,听了以后感觉深有收获,但又因为课程难度较大,国庆假期归来发现遗忘较多,因此开了一坑来记录自己对每节课知识点的理解。也由于这是本人第一次开坑写博客,结构内容自有诸多不合理之处,希望有问题的地方大家可以指出。

系列文章目录

1.静态程序分析(Static Program Analysis)介绍
2.中间表示(Intermediate Representation)
3.数据流分析(Data Flow Analysis) (上):可达性分析(Reaching Definitions)
4.数据流分析Data Flow Analysis) (下):存活变量分析(Live Variables Analysis)及可用表达式分析(Available Expressions Analysis)
5.数据流分析基础(Data Flow Analysis-Foundations)
6.过程间分析(Interprocedural Analysis)
7.指针分析(Pointer Analysis)入门
8.指针分析基础知识(Pointer Analysis Foundations)

一、动机

动机
在上一篇文章中,我们讲到了一种过程间分析的算法CHA,这是一种牺牲了精度来换取效率的算法,可以根据对象的类型进行分析,得到这个对象调用的方法可能是在哪定义的。然而这种算法对精度的牺牲自然会导致一些我们不想看到的"严谨",就像上图所示,采用CHA算法会从对象n对应的类Number中寻找get()的定义,找不到后会从Number的子类寻找,因此经过CHA的分析n.get()的返回值是NAC。然而显而易见,由于n是One类型创建的,所以返回值应该是1才对,这就需要用到指针分析了。

二、指针分析

2.1 什么是指针分析

我们首先介绍一下指针分析的三个特征:

  • 一个基本的静态分析:计算一个指针能指向哪个内存位置。
  • 对于OO语言(主要是Java)来说:计算一个一个指针(variable或field)指向哪个对象。
  • 作为一个may分析:计算指针指向的过拟合的对象集,即一个指针可能指向哪些对象?、

以上三个特征便可以看出指针分析到底是一种什么样的分析算法,其中需要解释一下的是第二条特征。不同于cpp,Java并没有真正的指针,或者说Java的指针被封装在代码底层,我们接触不到,而此处的指针指的是那些存储非数据而是地址的变量,例如T x = new T()中的x存储了新创建的一个类型为T的对象的地址,是一个指针。

2.2 一个指针会指向哪里

接下来用一个例子来具体感受一个指针会指向哪里:
例子
右侧表格是左侧程序每个变量指针指向的对象,接下来一个个看。
第一、二行定义了a和x,分别指向A和B没问题;
第三行调用了A类中的set()函数,this指向当前对象,同时也是调用了这个方法的a指向的new A,而b指向自己新创建的new B;
而y指向了a.getB()返回的this.b所指向的new B;
下方的A.b即this.b,指向传入参数x的new B。

2.3 Pointer Analysis 和 Alias Analysis

Pointer Analysis是指针分析;
Alias Analysis是别名分析;
这是两个密切相关但是不同方面的分析,主要体现在:
指针分析主要分析指针指向哪个对象,而别名分析主要分析两个指针是否指向同一个对象。
这个点了解一下区别就可,不细说了。

2.4 指针分析的应用

指针分析有很多的应用场景,例如可用于

  • 优化代码
  • 查bug
  • 安全性分析
  • 验证测试

等技术场景。

三、指针分析中的关键因素

指针分析是一个复杂的系统,有不同的因素影响了这个系统的效率和精度,我们需要在此之间找到一个平衡,下图就是其中最重要的四个因素
在这里插入图片描述
四个因素分别是:堆抽象、上下文敏感、流敏感、分析范围,第三列则是一些最为广泛使用的选择策略。

3.1 堆抽象

Java运行时会将创建的很多的对象放在堆里以供调用,堆抽象就是对其建模。
为了确保终止性,堆抽象会将动态执行时无限的域映射到静态分析时有限的域,再进行静态分析:在这里插入图片描述
在这里插入图片描述
堆抽象有很多种方法,最常用到的就是Allocation sites的抽象技术,这是一种Store based model,基于内存中地址的模型。
我将Allocation site翻译为抽象点,每个抽象点对应一个抽象对象,这个抽象对象代表被分配的所有具体对象,而系统通过抽象点对具体对象建模。
下面举个例子说明这种抽象关系:
在这里插入图片描述
动态运行时在for语句中创建了多个具体的对象a,而通过Allocation sites的技术抽象为一个抽象对象。

3.2 上下文敏感

上下文的敏感指的是系统模拟如何调用上下文,例如记录一个方法的传参、返回地址等,其中的上下文指的是被调方法的上下文。在这里插入图片描述
左侧是上下文敏感的做法,对于每次调用方法的时候都会分别记录那次方法的上下文信息,而右侧是不敏感的做法,会将不同的调用合并,每个方法不论调用多少次都只会分析一次。

3.3 流敏感

流敏感指的是如何对控制流进行建模,我们之前学习到的算法都是流敏感的:在这里插入图片描述
左侧是流敏感的分析,严格按照控制流的顺序进行分析,会在每个程序点都列出当前所有的指针指向;
右侧是流不敏感的分析,不考虑控制流的顺序,会将所有可能的指向一起加入域中。
由于流敏感分析的时候很多情况下域中的指向对象不可替换,因此开销很大,流不敏感的分析此时便可派上用处。

3.4 分析范围

分析分为整体分析和按需求分析。其中整体分析就是分析整个程序,不需要解释;按需求分析就是分析需要的代码行及相关的代码

1 x = new A();
2 y = x;
34 z = new T();
5 z.bar();

例如我要分析第五行的指针指向何处,只需要分析第四行即可。

3.5 总结

在这里插入图片描述
总结一下:

  • 堆抽象:针对对象,选择Allocation-site抽象技术;
  • 上下文敏感:针对方法,后续两种都会用到;
  • 流敏感:针对控制流,为了减小开销,使用流不敏感的;
  • 分析范围:由于并不知道得到需要分析处的指针指向需要从哪开始分析,有可能从头分析,消耗资源也很大,因此选择整体分析。

四、相关的语句

由于

  • if-else
  • switch-case
  • for/while/do-while
  • break/continue

四种语句并不会改变指针的指向,所以不考虑这四种语句的影响,主要分析以下四种类型的对象

  • Local variable: x
  • Static field: C.f
  • Instance field: x.f
  • Array element: array[i]

第一个局部变量x不用赘述;
第二个静态域C.f某些时候也可看作全局变量,一般不会碰到;
第三个实例域x.f建模为 一个由x指向的对象 + 一个域f;
第四个数组元素在处理的时候会将其下标忽略,统一指向一个域,将array[i]全部抽象映射到array.arr的域中。

然后是五种会改变指针指向的操作:在这里插入图片描述
这四种操作的需要牢记,将会在下一篇文章中具体分析。

五、总结

本文大概写了一下指针分析是什么,有哪些关注点,可以粗浅地了解一下什么是指针分析,具体的分析将在下一篇文章中进行。

童年梦
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
指针分析(一)
weixin_34123613的博客
03-10 174
指针,一直是C语言最难的话题,不通指针,不敢说自己熟悉C语言。那么就按照我个人的理解来说一下指针吧,如果还看不懂,那就没办法了,因为我的理解程度能够帮你以最清晰的角度去理解指针: 在32位操作系统下,不管是什么类型的指针指针变量在该环境下占4个byte。 还要区分一个概念:野指针,什么是野指针?也就是没有具体的指向。 比如: Int *p ; *p ...
指针分析 Pointer Analysis
Dong_HFUT的博客
12-16 3228
本文为Andersen-style pointer analysis学习笔记
程序分析技术理解(一)
weixin_44014743的博客
05-09 130
文章是为了快速理解程序分析中基本块和流图的概念
软件分析/静态分析】chapter6 课程08 指针分析Pointer Analysis
qq_46485137的博客
07-09 550
如何对程序中的堆内存进行建模?因为在程序动态执行时,如果程序中有循环或者递归,堆的对象的数量,理论上是无穷的。如果静态分析去处理无穷的对象,那就不能终止了。为了确保终止,提出了堆抽象技术,动态地将无穷的具体对象 抽象为 方便静态分析的有限的抽象对象(如下图所示,左边的原点表示动态时候产生的对象,随着程序的运行可能会产生无穷无尽的对象,使用堆抽象技术,会把这些动态产生的对象进行抽象,把具有某些共性的对象抽象成一个对象,通过这种抽象的方式限制静态分析处理的对象的个数,从而保证终止。
程序分析技术
ronghuilin的博客
10-29 4851
程序分析方法。程序分析程序设计的一个发展方向,是程序员提升能力的有效途径。
源代码论文报告
weixin_55931413的博客
01-15 472
文章目录报告内容论文内容详解摘要介绍:MotivationMAHJONG算法从理论到事件的过程评估代码详解结构设计与组件功能介绍automataDFA.javaDFAEquivalenceChecker.javaDFAFactory.javaDFAState.javaNFA.javafpgFieldPointstoGraph.javamainDoopMain.javaptadoopField.javaObj.javaPTAProvider.javaType.javautilNumberable.javaPa
静态分析资料汇总和学习笔记
03-09
软件开发过程中,静态分析广泛应用于研发、测试、售前和售后环节,尤其在SAST(Static Application Security Testing,静态应用程序安全测试)领域,它扮演着至关重要的角色。 静态分析与动态分析的主要区别在于...
库博静态代码分析工具v4.3-用户操作手册.docx
最新发布
05-19
本资源适用于软件开发人员、测试人员、项目管理人员等需要使用静态代码分析工具进行代码质量分析、错误排查和性能优化的专业人士。无论您是初学者还是经验丰富的专业人士,都能从这份手册中获得有用的信息和帮助。
Static Program Analysis静态程序分析
06-19
静态程序分析》是Anders Møller和Michael I. Schwartzbach在2022年发表的一份关于程序分析技术的最新资料。该书详细介绍了静态程序分析的应用、原理及其在编程语言中的实现。 静态程序分析是一种在不执行程序的...
程序静态分析技术与工具.pdf
09-07
程序静态分析是一种在程序执行前对其源代码进行分析技术,用于查找潜在的错误、安全漏洞或不符合规范的行为,以提高软件质量和生产效率。这一技术在计算机科学领域具有重要地位,尤其在软件工程中扮演着关键角色。...
Pointer Analysis-计算机科学
04-22
Foundations and TrendsR:copyright: in Programming Languages Vol. 2, No. 1 (2015) 1–69 c:copyright: 2015 Y. Smaragdakis and G. Balatsouras DOI: 10.1561/2500000014Pointer AnalysisYannis Smaragdakis University of Athens smaragd@di.uoa.grGeorge Balatsouras University of Athens gbalats@di.uoa.grContents1 Introduction 22 Core Pointer Analysis 5 2.1 Andersen-Style Points-To Analysis, Declaratively . . . . . . 7 2.2 Other Approaches . . . . . . . . . . . . . . . . . . . . . . 143 Analysis of Realistic L
TSTFL静态应变测试分析软件使用说明指导书.doc
11-24
TSTFL静态应变测试分析软件使用说明指导书 TSTFL静态应变测试分析软件是一款功能强大且实用的静态应变测试分析工具,旨在帮助用户快速、准确地进行静态应变测试和分析。下面是关于TSTFL静态应变测试分析软件使用...
软件分析/静态分析】chapter8 课程11/12 指针分析—上下文敏感(Pointer Analysis - Context Sensitivity)
qq_46485137的博客
09-11 488
如下图所示的程序,如果进行上下文不敏感的常量传播分析,id被调用了两次,一次传入的是n1 一次是n2,就会导致 id 方法的参数 n 在不同上下文里的对象混在一起,指针域为{o1, o2},再顺着指针分析传播的时候,通过返回值给x和y,会传递虚假的值,再分析 i 值的时候,会导致i = NAC可所以,
程序分析技术栈-测试/辅助证明/模型检验/保守静态分析/bug-finding
Canliture
05-04 1036
静态Bug查找工具/漏洞检查器等等,需要静态分析的知识,而静态分析从大的技术门类来讲可置身软件工程基础技术程序分析技术大类。 这里先概述日常工作中接触比较多的静态分析技术(如IDE的代码补全,定义跳转等等),然后再站在高层地视角将静态分析技术置身于程序分析这一软件工程基础领域,让我们清楚地知道静态分析软件基础技术中的作用域/适用范围及其特点/局限性。 静态程序分析(简称静态分析),主要是在不运行程序的情况下,找到程序的语义属性。它最初在70年代在编译优化技术中引入,用于生成高效的机器码。随着对静态分.
Mxnet (39): 上下文敏感的nlp模型:BERT
泛泛之素
10-10 1525
word2vec和GloVe之类的词嵌入模型是与上下文无关。他们将相同的预训练向量分配给相同的单词,而不管该单词的上下文(如果有)。他们很难用自然语言处理好多义性或复杂的语义。这种上下文无关的很有局限性,因此出现了很多上下文敏感的模型,ELMo为其中之一。 ELMo将来自预训练的双向LSTM的所有中间层表示形式组合为输出表示形式,然后ELMo表示将作为附加功能添加到下游任务的现有模型中。虽然这解决了上下文无感的问题,但是解决的方案取决与特定的任务体系。但是,为每个自然语言任务设计特定的体系比价困难。为此GP
指针详细分析
遗失的角落的博客
06-13 422
一.指针的概念  指针是一个特殊的变量,它里面存储的数值被解释成为内存里的一个地址。  要搞清一个指针需要搞清指针的四方面的内容: 指针的类型, 指针所指向的类型, 指针的值或者叫指针所指向的内存区, 指针本身所占据的内存区。 例一:  (1)int *ptr;  (2)char *ptr;  (3)int **ptr;  (4)int (*p
软件分析/静态分析】chapter5 课程07 过程间分析(Interprocedural Analysis
qq_46485137的博客
07-08 724
会对A及其子类进行dispatch,也就是对A B C D 进行dispatch,对A dispatch的结果就是A,对B dispatch的时候,B没有foo,所以会找其父类,结果也是A,再对B 的子类 C D 分别进行dispatch,结果加入CD,所以答案为 A C D。如下图所示,对Dispatch(B, A.foo()) 是在B里找foo方法,B里没有,就会去其父类A中找,所以是A.foo(),而第二个Dispatch(C, A.foo())是在C里找foo方法,C里又,所以是C.foo()
软件分析/静态程序分析学习笔记】6.过程间分析(Interprocedural Analysis)
zhang971105的博客
10-30 4200
本文内容比较简单,只是将单个方法内的数据流分析扩展到数个方法中,之前的内容看懂的话这个还是很容易理解的,传递函数还是比较简单,就不多说啦。
程序分析方法》——1.3 小结
weixin_33877885的博客
08-01 316
1.3 小结   本章介绍了程序设计语言的历史、程序设计语言的实现方式和程序设计语言的未来发展趋势。程序设计语言作为程序员与计算机交流的唯一媒介,其演变历程、实现方式和未来发展趋势,对于程序设计、程序分析程序验证和程序的正确性证明等问题的研究有着深远的影响。程序设计语言发展至今,经历了机器语言、汇编语言、高级语言和第四代语言的演变,语言的定义和实现方...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值