Intro

在利用SootUp分析程序之前，需要了解它的一些核心数据结构：

• AnalysisInputLocation：指向待载入View的目标代码的位置，是SoutClass的来源。这个位置可以是Java源代码的路径、Java类路径、JAR文件、Android APK文件、Jimple文件等

• View：处理待分析代码的表现形式

• SootClass：Soot中类的表示，通过ClassType从View获取

• SootMethod：Soot中类方法的表示，通过MethodSignature从View获取

• SootField：Soot中类字段的表示，通过FieldSignature从View获取

• Body：Soot中方法体的表示

• StmtGraph：方法体的控制流图

Create a View

首先得创建一个AnalysisInputLocation指定分析对象所在位置，再将其传入创建一个JavaView

查看AnalysisInputLocation的实现类对应不同的分析对象

image-20240926132312529

以分析Java源代码为例：

JavaSourcePathAnalysisInputLocation inputLocation
    = new JavaSourcePathAnalysisInputLocation("src/main/resources/");
JavaView view = new JavaView(inputLocation);

官方文档（v1.3.0）说直接分析源码目前是实验性阶段，通常应该自己先把源码编译成字节码再进行分析

JavaClassPathAnalysisInputLocation inputLocation
    = new JavaClassPathAnalysisInputLocation("target/classes/");
JavaView view = new JavaView(inputLocation);

默认情况下，一个类被获取时会被永久存储到缓存中，如果我们不希望类被无限缓存，可以给View提供不同的CacheProvider。

比如下面的LRUCache最多存储50个类，当有一个新的类被获取时，会替代掉最近最少被使用到的类

JavaView view = new JavaView(Collections.singletonList(inputLocation),
                new LRUCacheProvider(50));

Retrieving a Class

每个类都由一个独特的签名来标识，也就是类的全限定名（fully-qualified class name, aka fqcn），在SootUp中是通过ClassType来表示一个类的签名的

比如我们要分析的类为

package org.example;

public class HelloWorld {
    public HelloWorld(){}
    public static void main(String[] args) {
        System.out.println("Hello World");
    }
}

先定义一个ClassType来标识HelloWorld类，再利用它从View中获取对应的SootClass对象。

JavaClassType classType = view.getIdentifierFactory().getClassType("org.example.HelloWorld");

Optional<JavaSootClass> clazzOpt = view.getClass(classType);
if(!clazzOpt.isPresent()){
    System.out.println("Class not found");
    return;
}
JavaSootClass clazz = clazzOpt.get();

Retrieving a Method

类似地，方法也有签名，在SootUp中通过MethodSignature来表示

比如下面获取HelloWorld#main方法

MethodSignature methodSignature = view.getIdentifierFactory().getMethodSignature(
    classType,   // 类签名
    "main",      // 方法名
    "void",      // 返回类型
    Collections.singletonList("java.lang.String[]")  // 参数类型
);

接着从View中获取对应的SootMethod

Optional<JavaSootMethod> methodOpt = view.getMethod(methodSignature);
if(!methodOpt.isPresent()){
    System.out.println("Method not found");
    return;
}
JavaSootMethod method = methodOpt.get();
System.out.printf("Method Signature: %s\n", method.getSignature());
System.out.println(method.getBody());

Method Signature: <org.example.HelloWorld: void main(java.lang.String[])>

[PUBLIC, STATIC]

{
    java.io.PrintStream $stack1;
    java.lang.String[] args;


    args := @parameter0: java.lang.String[];
    $stack1 = <java.lang.System: java.io.PrintStream out>;
    virtualinvoke $stack1.<java.io.PrintStream: void println(java.lang.String)>("Hello World");

    return;
}

这里method.getBody()返回的就是方法体对应的Jimple IR，下一节再细讲Jimple

当然也可以从SootClass获取它包含的SootMethod

MethodSubSignature subSignature = methodSignature.getSubSignature();
System.out.println(subSignature);

Optional<JavaSootMethod> clazzMethod = clazz.getMethod(subSignature);
if(!clazzMethod.isPresent()){
    System.out.println("Method not found");
    return;
}
JavaSootMethod method = clazzMethod.get();

SubSignature为void main(java.lang.String[])，实际上就是去掉了签名的类名部分

Retrieving the CFG

每个SootMethod都包含一个控制流图CFG，由StmtGraph表示，这个结构是后面进行程序分析的基础。

StmtGraph<?> stmtGraph = method.getBody().getStmtGraph();

DotExporter可以将CFG导出为dot文件，再通过graphviz等工具查看

以下面的程序为例

package org.example;

public class CFG {
    public void foo(int x){
        for (int i = 0; i < x; i++){
            System.out.println(i);
        }
    }
}

生成的Jimple：

{
    int i, x;
    java.io.PrintStream $stack3;
    org.example.CFG this;

    this := @this: org.example.CFG;
    x := @parameter0: int;
    i = 0;

  label1:
    if i >= x goto label2;
    $stack3 = <java.lang.System: java.io.PrintStream out>;
    virtualinvoke $stack3.<java.io.PrintStream: void println(int)>(i);
    i = i + 1;

    goto label1;

  label2:
    return;
}

下面会打印一个url，可以在线查看和编辑生成的CFG的dot文件

String urlToWebeditor = DotExporter.createUrlToWebeditor(stmtGraph);
        System.out.println(urlToWebeditor);

image-20240926142049748

下面会将CFG写入一个dot文件

String dotStr = DotExporter.buildGraph(stmtGraph, false, null, method.getSignature());
Files.write(Paths.get("src/main/resources/CFG.dot"), dotStr.getBytes());

dot -T png .\CFG.dot -o CFG.dot.png转png图片