Clang静态程序分析

最新推荐文章于 2024-06-20 19:02:13 发布
最新推荐文章于 2024-06-20 19:02:13 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: 静态程序分析 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huang1zhao/article/details/126262290
版权
Clang的静态分析器通过模拟源码执行路径,利用ProgramState和ExplodedGraph来跟踪变量和表达式状态。Checker通过访问分析引擎交互,检查条件并可能报告bug。SVal用于表示表达式的语义值,包括具体值、符号值和内存地址。创建Checker需明确追踪事件和状态管理。分析器通过可达性分析发现bug,同时使用不可变的ProgramState和ExplodedNode确保分析的正确性。Checker之间通过visitor接口协作,当发现bug时,通过BugReporter报告。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

程序分析

Clang checker静态分析

10.247.7.109

分析器就是一个源码模拟器,跟踪所有可能的执行路径。程序执行过程中的状态,比如变量的值或者一个表达式结果,通过ProgramState进行封装,程序中的一个点就是ProgramPoint,ProgramPoint和ProgramState结合起来得到的就是ExplodedGraph中的一个节点 。

单个Checker通过操作分析状态来工作,它们通过访问接口和分析引擎交互。比如说GRExprEngine通过调用PreVisitCallExpr()方法指示Checker去分析CallExpr,然后Checker就会去检查所有的先决条件是否满足。Checker在检查过程中可能什么也不做,也可能更新状态,得到新的ProgramState和ExplodedNode。一旦它发现了一个bug,就会将报错路径中最后一个ExplodedNode提供给BugReporter,并通知BugReporter报告这个bug。

SVal对象用来表示表达式的语义值。能表示具体整型,符号值,或者内存地址(内存范围)。也就是不同值、符号或其他的联合。

创建checker有两点建议:

  1. 需要追踪什么事件?
  2. Checker需要存储什么状态?

程序状态:变量和表达式的值。封装为ProgramState。

程序点:程序执行的位置。封装为ProgramPoint。

扩展图:程序状态和程序点是扩展图中的一个节点。扩展图封装为ExplodedGraph。

控制流图:扩展控制流图的边可以引申出扩展图。

静态分析器对扩展图进行可达性分析,从根节点(包含程序入口点和初始状态)开始,通过分析表达式来模拟传输过程。表达式的分析可以引起状态变化,从而得到一个新的程序点和新的状态构成的新的扩展图节点。在访问节点时,如果满足bug条件,则可以找出一个程序的bug。

静态分析器通过状态的分支跟踪多个执行路径。在true的分支上,分支条件被认为是true,在false的分支上,分支条件被认为是false。这种假设为程序的数值创建了约束,这些约束被记录在ProgramState中(并且被ConstraintManager管理)。

ProgramState和ExplodedNode一旦被创建,就不可变。这非常关键,因为ExplodedGraph表示着从根节点开始已分析程序的行为。为了方便,使用ImmutableMaps数据结构来进行交互。

最后,独立的Checkers也通过管理分析状态来工作。checker引擎通过visitor接口来与它们进行交互。例如,GRExprEngine调用PreVisitCallExpr()函数来告诉checker即将分析一个CallExpr,然后checker会check所有可能不满足的preconditions。

Checkers什么也不会做,也不会生成ProgramState和ExplodedNode。如果发现一个bug,就会报告给BugReporter对象,并提供路径中最后一个触发问题的ExplodedNode。

Bug Reports

最常用的两个类BugType和BugReport。

BugType表示bug的类型。

BugReport用于表示指定的bug。需要三个参数才能创建一个BugReport:

  1.  Bug类型。BugType的实例。

  2.  简短描述字符串。Bug描述,用于显示。

  3.  Bug出现的context。包括bug在程序中的位置和程序状态。封装为ExplodedNode。

为了获得正确的ExplodedNode,必须决定在路径上是否继续。这取决于bug是否会阻止程序继续分析。如果是资源泄露,则不应该停止。如果是空指针,则应该停止分析。

如果分析能继续,正确的ExplodedNode是最近使用的,不需要修改就可以传给BugReport。可以调用CheckerContext::addTransition来获取ExplodedNode。

如果分析不能继续,需要将当前状态传递给sink node,这样后面不会继续分析。可以通过调用CheckerContext::generateSink函数来实现。这个函数和CheckerContext::addTransition一样,可以返回ExplodedNode,但是将状态标记为sink node。

一旦创建好了BugReport,可以调用CheckerContext::emitReport将其传给Analyzer core。

store

Store在每个State下存在,存储着内存位置的SVal到变量的值的SVal的映射,Store允许我们使用Bind一类的方法向store中手动绑定某一对映射,同样的也允许我们使用removeBinding手动移除某一对映射

ProgramState分为五部分内容:这里需要先了解一个内容,clang的内存模型的设计是var->loc->sval,也就是变量到内存到符号。

     1.Environment:包含了当前节点能引用到的所有表达式和他们的符号的映射关系

     2.Region Store:包含了内存区域到符号的映射关系。

     3.Range Constraints:约束

     4.Taint:从不安全的来源获得的符号值的登记表

     5.Generic Data Map:存储用户定义的数据

http://3ms.huawei.com/km/blogs/details/9661651

http://3ms.huawei.com/km/blogs/details/8996913

  1. 除0

CheckerContext: 用于为当前执行的checker提供上下文信息

namespace {
class DivZeroChecker : public Checker< check::PreStmt<BinaryOperator> > {
  mutable std::unique_ptr<BuiltinBug> BT;
  void reportBug(const char *Msg, ProgramStateRef StateZero, CheckerContext &C,
                 std::unique_ptr<BugReporterVisitor> Visitor = nullptr) const;

public:
  void checkPreStmt(const BinaryOperator *B, CheckerContext &C) const;
};
} // end anonymous namespace

static const Expr *getDenomExpr(const ExplodedNode *N) {
  const Stmt *S = N->getLocationAs<PreStmt>()->getStmt();
  if (const auto *BE = dyn_cast<BinaryOperator>(S))
    return BE->getRHS();
  return nullptr;
}

void DivZeroChecker::reportBug(
    const char *Msg, ProgramStateRef StateZero, CheckerContext &C,
    std::unique_ptr<BugReporterVisitor> Visitor) const {
  if (ExplodedNode *N = C.generateErrorNode(StateZero)) {
    if (!BT)
      BT.reset(new BuiltinBug(this, "Division by zero"));

    auto R = std::make_unique<PathSensitiveBugReport>(*BT, Msg, N);
    R->addVisitor(std::move(Visitor));
    bugreporter::trackExpressionValue(N, getDenomExpr(N), *R);
    C.emitReport(std::move(R));
  }
}

void DivZeroChecker::checkPreStmt(const BinaryOperator *B,
                                  CheckerContext &C) const {
  BinaryOperator::Opcode Op = B->getOpcode();
  if (Op != BO_Div &&
      Op != BO_Rem &&
      Op != BO_DivAssign &&
      Op != BO_RemAssign)
    return;

  if (!B->getRHS()->getType()->isScalarType())
    return;

  SVal Denom = C.getSVal(B->getRHS());
  Optional<DefinedSVal> DV = Denom.getAs<DefinedSVal>();

  // Divide-by-undefined handled in the generic checking for uses of
最低0.47元/天 解锁文章
使用 Clang 静态分析器提前发现 Bug
UaCode的博客
09-27 202
Clang 是一个开源的 C/C++/Objective-C 编译器前端,它提供了强大的静态分析功能,可以帮助开发人员在编译阶段发现潜在的 Bug。Clang 静态分析器是 Clang 编译器的一部分,它基于抽象语法树(Abstract Syntax Tree,AST)和程序控制流图(Control Flow Graph,CFG)进行静态分析。然而,需要注意的是,静态分析器并不能保证完全发现所有的 Bug,因此仍然需要进行其他测试方法,如单元测试、集成测试和系统测试等。将上述代码保存到名为。
clang静态分析
weixin_43124861的博客
11-02 2159
补充:centos7.8安装llvm7 https://www.liangzl.com/get-article-detail-20723.html clang 中文: https://www.bookstack.cn/read/clang-llvm/clang-user-manual.md#MinGW-w64 1.静态分析 程序分析分为动态分析静态分析两种,其中静态分析是指不实际运行程序而通过词...
第9章:Clang 静态分析
cppclub的博客
01-22 2108
你可以尝试直观地检查代码,这非常繁琐且容易出错,或者使用像Clang静态分析器这样的工具。问题在于,它不理解核电站API。我们将通过实现一个特殊的检查器来克服这一点。我们的第一步是建立关于我们想要在不同程序状态间传播的信息的状态模型概念。在这个问题中,我们关心的是反应堆是开启还是关闭状态。我们可能不知道反应堆是开启还是关闭的;因此,我们的状态模型包含三种可能的状态:未知、开启和关闭。现在我们对于检查器如何处理状态有了一个不错的概念。
Clang 静态分析(Static Analyzer)工具使用的总结
beswkwangbo的专栏
10-16 1万+
woogle原创,转载注明出处。 Clang作为LLVM(LowLevel VirtualMachine)编译器框架的前端,可以将C/C++、O-C/O-C++语言编译成为LLVM的中间表达式IR(IntermediateReresentation), 其结构图如下所示:​ 上面的不是重点,本篇文章的重点是讲Clang静态分析工具的使用,Clang作为前端,最主要的
Clang静态分析
实践出真理,接毕设/课设项目开发指导
07-29 500
LLVM是构架编译器(compiler)的框架系统,以C++编写而成,用于优化以任意程序语言编写的程序的编译时间(compile-time)、链接时间(link-time)、运行时间(run-time)以及空闲时间(idle-time),对开发者保持开放,并兼容已有脚本。
使用Clang作为编译器 —— Clang 静态分析
梦在哪里的博客
06-05 2394
Clang 静态分析器 本文为译文,点击此处查看原文。 Clang Static Analyzer是一个源代码分析工具,它可以发现 C、C++ 和 Objective-C 程序中的 bug。它基于符号执行技术实现了路径敏感的、过程间分析。 这是静态分析器文档页面。 请参阅官方工具页面。 目前,它既可以作为一个独立的工具运行,也可以在Xcode中运行。独立工具从命令行调用,并计划与代码库的构建一起运...
clang-plugins-demo:为 clangclang 静态分析器定义自定义插件的简单示例
05-31
这些插件和程序演示了如何创建和使用 clang 的插件基础结构来分析 AST 或与 clang 静态分析器集成。 AST 插件打印出解析文件时找到的函数的名称。 静态分析器插件是来自 clang 代码库的 SimpleStreamChecker(以及 ...
clazy:基于Clang框架的面向Qt的静态代码分析
02-25
您会收到50多个与Qt相关的编译器警告,范围从不必要的内存分配到API的滥用,包括用于自动重构的修复程序。 目录 源代码 您可以从以下方面获得帮助: 预建的二进制文件 KDAB生成了针对MSVC和Linux AppImage的预先...
掌握Clang静态分析器:优化代码的演讲材料
Clang静态分析器利用编译器前端的语法分析和语义分析技术来检测代码中的错误、漏洞和潜在问题,而无需实际编译和运行程序。它的工作原理是通过一系列的检查器(Checkers)来实现,这些检查器能够针对特定的编程模式...
[Linux]用Clang实现代码静态分析
I have a adream
05-31 5257
Clang实现代码静态分析
基于C语言的静态程序分析(英文版)
11-27
哈佛大学高级编程语言课中选择了本书中的一章作为讲义,该书的作者是哥本哈根大学的教授,是一本为数不多的基于实际语言讲解程序分析方面的书,书中已经添加了目录
clang-static-analysis-example:简单的项目,记住clang静态代码分析是怎么用的
07-06
介绍 使用 clang 静态代码分析的简单示例只是为了记住。 Clang/LLVM 能够进行静态代码分析并生成结果的交互式 HTML 报告。 build.sh 使用静态分析器配置 CMake 构建,构建代码并在浏览器中查看生成的报告。 链接 在 CMake 中使用 Clang 分析器: : Jenkins Clang 扫描构建插件: : scan-build:从命令行运行分析器 工具 扫描构建 “scan-build make”覆盖CC,运行静态代码分析,查看源文件并生成报告。 该项目应使用调试配置构建。 例子: 扫描构建 make -j4 扫描构建 gcc -c t1.c t2.c 参数: -o HTML 报告输出目录 -v 冗长的 -V 构建后在默认浏览器中查看报告 – 使用分析器 “Xcode”或 clang 可执行文件的路径
静态程序分析经典论文(static program analsyis)
11-28
Static program analysis is the art of reasoning about the behavior of computer programs without actually running them. This is useful not only in optimizing compilers for producing efficient code but also for automatic error detection and other tools that can help programmers. A static program analyzer is a pro- gram that reasons about the behavior of other programs. For anyone interested in programming, what can be more fun than writing programs that analyze programs?
clang编译器源码分析.zip
08-29
clang编译器源代码分析解读,有代码的仔细解读分析,笔记详细,值得一看。
程序静态分析
weixin_34383618的博客
09-06 1166
这是我在实习期间对程序静态分析写的报告,以普及大家对程序静态分析 程序静态分析简述 静态程序分析: 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。 它可以帮助软件开发人员、质量保证人...
Clang 10.0 手写静态分析器Checker
许你一片梁城的博客
05-25 1948
手写静态分析器Checker1.简介2.编写Checker3.配置CMakeLists4.配置Checkers.td5.编译构建6.测试 1.简介 目前网上找到的一些构建Checker的方法都比较古老,随着版本更新一些库文件和依赖文件的变动老方法不太适用,所以整理了一下在10.0版本下构建Checker的方法,10.0之前没没有使用过,后面的版本应该大差不差了。 2.编写Checker 编写自定义的Checker需要在以下目录进行: llvm/tools/clang/lib/StaticAnalyzer/C
基于 Clang和LLVM 的 C++ 代码静态分析工具开发教程
最新发布
jiayoushijie的博客
06-20 2248
C++ 中经常使用typedef和using来定义类型别名。# 检查类型是否是互斥锁在这里,如果类型是一个typedef,我们使用方法获取其原始类型,然后再进行检查。静态代码分析是一种强大的技术,可以帮助开发者在编译之前发现代码中的潜在问题。通过分析代码的结构和语义,静态分析工具可以发现诸如空指针解引用、资源泄漏、竞态条件等问题。本教程将介绍如何使用 LLVM 库开发一个 C++ 静态分析工具。LLVM 是一个强大的编译器基础设施,广泛用于开发编译器、优化器、静态分析器等工具。
代码等静态分析(Clang/LLVM,Hades)
ShareUs的专栏
11-25 1880
&gt; Clang/LLVM  针对 C/Objective-C 主流的静态分析开源项目包括:Static Analyzer、Infer、OCLint 等。  对于 C/Objective-C 而言,主流编译器是 Clang/LLVM(Low Level Virtual Machine)的,它是一个开源的编译器架构,并被成功应用到多个应用领域。android llvm-o混淆。Clang(发音为...
clang static analyzer源码分析(一)
热门推荐
电影旅行敲代码
03-01 1万+
引子clang静态代码分析clang相对于gcc一个比较能够引起关注的点,特别是clang静态代码分析基于checker的架构和大部分的静态分析工具都不相同。clang静态代码分析使用符号执行的技术执行路径敏感的代码分析,符号执行引擎并不实际进行报错,而是使用挂载在引擎上的checker对程序状态进行检查并报错。这种方式方便用户对代码检查规则或者bug类型进行扩展,但是这种架构也有其缺陷,符号执行
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值