Android污点分析工具flowdroid源码简析

jbzq6611 7年前
   <p>flowdroid是一款对Android app进行风险分析的应用,下面深入其源码对其工作的流程进行相关的探究。</p>    <h2>1、准备</h2>    <p><strong>a)</strong> 下载相关源码(包括soot、heros、jasmin、soot-infoflow、soot-infoflow、soot-infoflow-android)到同一文件夹中,使用eclipse将源码依次导入就完成了整体项目的导入,尽量使用最新版eclipse,如果版本太老,导入后可能会出现各种问题;完成导入后整体项目结构如下所示:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/1c7acc3246f0224c4d060ee77712837b.jpg"></p>    <p><strong>b)</strong> 本次测试使用的APK是flowdroid本身提供的一个apk:enriched1.apk,位于soot-infoflow-android/testAPKs目录下,该应用包含一个主Activity,下图展示了Mainfest.xml文件的具体内容:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/f76a12c5c33b9bc75b5998e7276cc273.jpg"></p>    <p>主要的操作是在主Activity的onCreate方法中获取设备ID(DeviceId)然后通过短信的形式发送出去,使用Jimple代码表示如下:</p>    <pre>  <code class="language-java">$r6 = virtualinvoke $r4.<android.telephony.TelephonyManager: java.lang.String getDeviceId()>()   virtualinvoke $r10.<android.telephony.SmsManager: void sendTextMessage(java.lang.String,java.lang.String,java.lang.String,android.app.PendingIntent,android.app.PendingIntent)>($r6, $r11, $r12, $r13, $r14)</code></pre>    <p><strong>c)</strong> source(风险产生点)与sink(风险触发点)点,使用flowdroid源码中提供的:SourceAndSink.txt,位于soot-infoflow-android根目录下;下面展示本次使用的source点、sink点,从中可以看出source、sink的定义不仅包含了Jimple格式的方法声明,也包含了调用该方法需要声明的权限,从上图的Manifest文件中可以看出,这两个方法需要使用的权限均已声明;</p>    <pre>  <code class="language-java"><android.telephony.SmsManager: void sendTextMessage(java.lang.String,java.lang.String,java.lang.String,android.app.PendingIntent,android.app.PendingIntent)> android.permission.SEND_SMS -> _SINK_   <android.telephony.TelephonyManager: java.lang.String getDeviceId()> android.permission.READ_PHONE_STATE -> _SOURCE_</code></pre>    <p><strong>d)</strong> 回调函数(执行某些回调操作将调用的函数)使用soot-infoflow-android根目录下的AndroidCallbacks.txt;</p>    <p><strong>e)</strong> 污染易传播点,表示当source(风险产生点)经过该函数后,新产生的变量将会成为新的source点,如list = List.add(source1),list将会成为新的source源;该文件使用soot-infoflow根目录下的EasyTaintWrapperSource.txt文件;</p>    <p><strong>f)</strong> 本地运行的主函数位于soot-infoflow-android/src/soot.jimple.infoflow.android.TestApps目录下的Test.java文件中,在Run Configurations中配置待扫描apk文件地址及android.jar目录地址,配置详情如下图所示:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/39ec46b31911b7274b73df035f565f5b.jpg"></p>    <p>至此一切配置就绪,点击上图Run按钮运行,就会看到flowdroid运行起来了,经过不到一分钟(这是demo的时间,复杂的应用就呵呵吧)的分析,就能够看到运行输入的结果,先来一张运行结果图:</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/c71ed638435d81396ba3efb5901c1b0b.jpg"></p>    <p>由于结果太长,不能完全展示结果的内容,下面将结果拷贝下来,用文字进行展示:</p>    <p>Found a flow to sink virtualinvoke $r10. <android.telephony.SmsManager: void sendTextMessage (java.lang.String,java.lang.String,java.lang.String,android.app.PendingIntent,android.app.PendingIntent)>($r6, $r11, $r12, $r13, $r14), from the following sources:</p>    <p>- $r6 = virtualinvoke $r4. <android.telephony.TelephonyManager: java.lang.String getDeviceId()> () (in <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onCreate(android.os.Bundle)>)</p>    <p>Maximum memory consumption: 141.144008 MB</p>    <p>Analysis has run for 5.030271649 seconds</p>    <p>至此我们已经完成了项目导入及运行一个demo程序,下面正式进入源码的分析。</p>    <h2>2、收集source点、sink点、入口点(Entrypoint)</h2>    <p>这个题目是根据执行的第一个关键函数(如下)取的,但是这个函数实际的作用其实有一些名不副实,该函数位于soot-infoflow-android/src/soot.jimple.infoflow.android.TestApps/Test.java的642行:</p>    <pre>  <code class="language-java">app.calculateSourcesSinksEntrypoints("SourcesAndSinks.txt");</code></pre>    <p>从main()函数的起始点到该函数之间的一些操作,主要是变量初始化、赋值的一些操作,在此不再详述;进入该函数,该函数主要进行一个操作,根据source、sink文件定义类型,对文件中的内容进行提取,然后进入calculateSourcesSinksEntrypoints(parser)函数,其参数parser就是对source、sink点进行解析后的变量,解析函数:</p>    <pre>  <code class="language-java">parser = PermissionMethodParser.fromFile(sourceSinkFile)</code></pre>    <p>这个函数是对txt文件进行解析;进入 calculateSourcesSinksEntrypoints这个 函数,大致浏览下该函数,函数应该是这个本次操作的主函数,对其操作进行拆解,首先执行操作的代码如下所示:</p>    <pre>  <code class="language-java">  ProcessManifest processMan = new ProcessManifest(apkFileLocation);    this.appPackageName = processMan.getPackageName();    this.entrypoints = processMan.getEntryPointClasses();</code></pre>    <p>上面代码的主要作用是反编译并解析该APK的Manifest.xml文件,生成变量processMan,获取其packagename并赋值给this.appPackageName=”de.ecspride.reflectionprivacyleak1″,并获取其程序的入口点,Android应用的入口点实际上就是其定义的四大组件(Activity、Broadcast、Provider、Service),此应用只定义了一个Activity,因此</p>    <pre>  <code class="language-java">this.entrypoints=[de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1];</code></pre>    <p>然后使用ARSCFileParser类反编译apk文件,并赋值给变量resParser,然后进入calculateCallbackMethods(resParser, lfp)函数,其参数resParser表示刚反编译的apk文件,lfp表示对布局文件的反编译,属于类LayoutFileParser,进入calculateCallbackMethods函数,首先看到的就是对soot的一些操作,如下所示:</p>    <pre>  <code class="language-java">soot.G.reset();  initializeSoot(true);  createMainMethod();</code></pre>    <p>第一个语句soot.G.reset()是一个标准的soot操作,用于清空soot之前所有操作遗留下的缓存值,后面的代码中将会多次使用该操作;</p>    <p>第二个语句initializeSoot(true)的完整函数如下所示,参数true表示是否构建程序调用图(控制流图);该函数主要作用是反编译.dex文件,反编译生成jimple文件,为查看方便,函数的说明将会在代码注解中详细给出;</p>    <pre>  <code class="language-java">private void initializeSoot(boolean constructCallgraph) {        //相当于soot命令:-no-bodies-for-excluded,表示不加载未被包含的类        Options.v().set_no_bodies_for_excluded(true);        //相当于soot命令:-allow-phantom-refs,表示是否加载未被解析的类        Options.v().set_allow_phantom_refs(true);        //相当于soot命令:-f FORMAT -output-format FORMAT,设置输出的格式,此处设置为不输出,因此不会输出反编译后的jimple文件        Options.v().set_output_format(Options.output_format_none);        //相当于soot命令:-w -whole-program,以全局应用的模式运行        Options.v().set_whole_program(constructCallgraph);        //相当于soot命令:-process-path DIR -process-dir DIR,待反编译文件所在的文件夹,此处是apk文件地址        Options.v().set_process_dir(Collections.singletonList(apkFileLocation));        if (forceAndroidJar)           //相当于soot命令:-android-jars PATH,表示在该路径下寻找android.jar文件           Options.v().set_force_android_jar(androidJar);        else           //相对于soot命令:-force-android-jar PATH,表示强制在该路径下寻找android.jar文件           Options.v().set_android_jars(androidJar);        //相当于soot命令:-src-prec FORMAT,表示反编译后文件的生成文件类型,此处为jimple类型        Options.v().set_src_prec(Options.src_prec_apk_class_jimple);        //是否记录代码所在行        Options.v().set_keep_line_number(false);        //是否记录代码偏移量        Options.v().set_keep_offset(false);                //设置上述另一的变量类型,该设置需要保证在soot反编译之前进行        if (sootConfig != null)           sootConfig.setSootOptions(Options.v());                Options.v().set_soot_classpath(getClasspath());        Main.v().autoSetOptions();                // 构建控制流图选项,默认是SPARK        if (constructCallgraph) {           switch (config.getCallgraphAlgorithm()) {           case AutomaticSelection:           case SPARK:              Options.v().setPhaseOption("cg.spark", "on");              break;           case GEOM:              Options.v().setPhaseOption("cg.spark", "on");              AbstractInfoflow.setGeomPtaSpecificOptions();              break;           case CHA:              Options.v().setPhaseOption("cg.cha", "on");              break;           case RTA:              Options.v().setPhaseOption("cg.spark", "on");              Options.v().setPhaseOption("cg.spark", "rta:true");              Options.v().setPhaseOption("cg.spark", "on-fly-cg:false");              break;           case VTA:              Options.v().setPhaseOption("cg.spark", "on");              Options.v().setPhaseOption("cg.spark", "vta:true");              break;           default:              throw new RuntimeException("Invalid callgraph algorithm");           }        }        //使用soot反编译dex文件,并将反编译后的文件加载到内存中        Scene.v().loadNecessaryClasses();     }</code></pre>    <p>初始化soot完成后,进入第三个语句createMainMethod(),其代码如下所示;其主要的操作是构造一个虚拟的main方法,并将入口点(entrypoint)相关类添加到这个虚方法中;</p>    <pre>  <code class="language-java">private void createMainMethod() {        // Always update the entry point creator to reflect the newest set        // of callback methods        SootMethod entryPoint = createEntryPointCreator().createDummyMain();        Scene.v().setEntryPoints(Collections.singletonList(entryPoint));        if (Scene.v().containsClass(entryPoint.getDeclaringClass().getName()))           Scene.v().removeClass(entryPoint.getDeclaringClass());        Scene.v().addClass(entryPoint.getDeclaringClass());                // addClass() declares the given class as a library class. We need to        // fix this.        entryPoint.getDeclaringClass().setApplicationClass();     }</code></pre>    <p>此处在将entrypoint塞入虚拟main方法中的时候,由于entryponit是Android的四大组件,因此在塞入main方法中的时候需要对组件进行建模,建模的方法是根据组件的生命周期(onCreate、onStart、onResume、onPause、onStop、onRestart、onDestory),依次塞入其相关的方法,下面给出生成的 dummyMainMethod 方法主体函数,可以从中感受下。</p>    <pre>  <code class="language-java">public static void dummyMainMethod(java.lang.String[])      {          java.lang.String[] $r0;          int $i0;          de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1 $r1;          $r0 := @parameter0: java.lang.String[];          $i0 = 0;       label1:          if $i0 == 0 goto label5;          $r1 = new de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1;          specialinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void <init>()>();          if $i0 == 1 goto label5;          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onCreate(android.os.Bundle)>(null);       label2:          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onStart()>();       label3:          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onResume()>();          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onPause()>();          if $i0 == 3 goto label3;          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onStop()>();          if $i0 == 4 goto label4;          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onRestart()>();          if $i0 == 5 goto label2;       label4:          virtualinvoke $r1.<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onDestroy()>();       label5:          if $i0 == 7 goto label1;          return;      }</code></pre>    <p>接下来便是进行回调函数的收集,主要的操作函数如下所示:</p>    <pre>  <code class="language-java">  for (Entry<String, Set<SootMethodAndClass>> entry : jimpleClass.getCallbackMethods().entrySet()) {              Set<SootMethodAndClass> curCallbacks = this.callbackMethods.get(entry.getKey());              if (curCallbacks != null) {                 if (curCallbacks.addAll(entry.getValue()))                    hasChanged = true;              } else {                 this.callbackMethods.put(entry.getKey(), new HashSet<>(entry.getValue()));                 hasChanged = true;              }        }                if (entrypoints.addAll(jimpleClass.getDynamicManifestComponents()))           hasChanged = true;     }     // Collect the XML-based callback methods     collectXmlBasedCallbackMethods(resParser, lfp, jimpleClass);</code></pre>    <p>其操作是遍历entrypoint,然后将entry中的回调函数添加到this.callbackMethods变量中,这里执行的函数在else中,添加到this.callbackMethods中的值为:</p>    <pre>  <code class="language-java">{de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1=  [<de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onStart()>,   <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onDestroy()>,   <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onPause()>,   <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onRestart()>,   <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onResume()>,   <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onStop()>,   <de.ecspride.reflectionprivacyleak1.ReflectionPrivacyLeak1: void onCreate(android.os.Bundle)>]},</code></pre>    <p>从中可以看出添加的回调函数主要是该Activity生命周期中的函数,这样在上面生成的虚main方法调用到onCreate这些方法时,就会到this.callbackMethods中寻找相关的方法;随后还会进入xml文件中分析相关的回调函数,这里没有涉及。</p>    <p>calculateCallbackMethods(resParser, lfp)函数执行完成后,跳转回calculateSourcesSinksEntrypoints()函数,至此完成了对Entry point、回调函数的收集,下一步就是完成source、sink的收集,这一步的操作并不涉及soot的相关操作,只是将SourceAndSink.txt文件中包含的source、sink点,封装到sourceSinkManager中,具体在代码中搜索source、sink点,在数据流追踪中完成;</p>    <pre>  <code class="language-java">      {           Set<SootMethodAndClass> callbacks = new HashSet<>();           for (Set<SootMethodAndClass> methods : this.callbackMethods.values())              callbacks.addAll(methods);           sourceSinkManager = new AccessPathBasedSourceSinkManager(                 this.sourceSinkProvider.getSources(),                 this.sourceSinkProvider.getSinks(),                 callbacks,                 config.getLayoutMatchingMode(),                 lfp == null ? null : lfp.getUserControlsByID());           sourceSinkManager.setAppPackageName(this.appPackageName);           sourceSinkManager.setResourcePackages(this.resourcePackages);           sourceSinkManager.setEnableCallbackSources(this.config.getEnableCallbackSources());        }</code></pre>    <p>到此已经完成了第一步的操作,主要是做一些分析前的准备工作,包括收集入口点(entrypoint)、回调函数(callback)、source点、sink点,为后面的数据流分析做准备。</p>    <h2>3、数据流分析</h2>    <p>数据流的分析主要依赖heros工具,可能大家有些时候对heros、jasmin与soot的关系理不大清,heros、jasmin是基于soot开发的工具,相当于soot的插件,不能独立运行,因为没有自己的main调用方法,目前下载最新版的编译后的soot.jar里面默认是包含这两个工具的。</p>    <p>上面进行初步的分析工作,下面将正式进行数据流的分析,即执行完Test.java/runAnalysis()方法的642行app.calculateSourcesSinksEntrypoints(“SourcesAndSinks.txt”)后,继续向下执行,然后执行到数据流分析的入口点,651行:</p>    <pre>  <code class="language-java">final InfoflowResults res = app.runInfoflow(new MyResultsAvailableHandler()),</code></pre>    <p>进入runInfoflow()函数,函数的前半部分主要进行一些赋值、初始化的操作,其中比较重要的是实例化一个info变量,该变量是Infoflow类的实例对象,然后使用info.computeInfoflow(apkFileLocation, path, entryPointCreator, sourceSinkManager)进行实际的分析,四个参数的含义为:</p>    <p>apkFileLocation:待分析apk文件的地址;</p>    <p>path:android.jar文件的地址,用于后面反编译使用;</p>    <p>entryPointCreator:前面获得的应用的入口函数;</p>    <p>sourceSinkManager:从SourceAndSink.txt文件中获取的source点与sink点,一共包括89个source点、133个sink点;</p>    <p>进入该函数,其代码如下所示,从diamante中可以看出,其操作跟2中的操作相类似:初始化soot,然后构造虚拟main方法并设置为入口点,最后使用runAnalysis()方法进行分析。</p>    <pre>  <code class="language-java"> public void computeInfoflow(String appPath, String libPath,           IEntryPointCreator entryPointCreator,           ISourceSinkManager sourcesSinks) {        if (sourcesSinks == null) {           logger.error("Sources are empty!");           return;        }        initializeSoot(appPath, libPath, entryPointCreator.getRequiredClasses());        // entryPoints are the entryPoints required by Soot to calculate Graph - if there is no main method,        // we have to create a new main method and use it as entryPoint and store our real entryPoints        Scene.v().setEntryPoints(Collections.singletonList(entryPointCreator.createDummyMain()));        // Run the analysis          runAnalysis(sourcesSinks, null);     }</code></pre>    <p>进入runAnalysis函数,首先第一个比较重要的操作就是使用soot构造控制流图:constructCallgraph();先进入该函数,为方便说明,将在代码中对关键部分进行注解;通过该方法生成控制流图(callgraph)后,获取控制流图变量:</p>    <pre>  <code class="language-java">CallGraph appCallGraph = Scene.v().getCallGraph();</code></pre>    <p>控制流图在整个分析中非常关键,后面将有独立的章节介绍控制流图。</p>    <pre>  <code class="language-java"> protected void constructCallgraph() {        // Allow the ICC manager to change the Soot Scene before we continue        ipcManager.updateJimpleForICC();        // Run the preprocessors          for (PreAnalysisHandler tr : preProcessors)              tr.onBeforeCallgraphConstruction();                    // Patch the system libraries we need for callgraph construction          LibraryClassPatcher patcher = new LibraryClassPatcher();          patcher.patchLibraries();                  // To cope with broken APK files, we convert all classes that are still          // dangling after resolution into phantoms          // 将所有未定义(dangling)的类转化成虚类          for (SootClass sc : Scene.v().getClasses())           if (sc.resolvingLevel() == SootClass.DANGLING) {              sc.setResolvingLevel(SootClass.BODIES);              sc.setPhantomClass();           }                  // We explicitly select the packs we want to run for performance          // reasons. Do not re-run the callgraph algorithm if the host          // application already provides us with a CG.        if (config.getCallgraphAlgorithm() != CallgraphAlgorithm.OnDemand              && !Scene.v().hasCallGraph()) {             PackManager.v().getPack("wjpp").apply();             // 生成控制流图(callgraph)的关键步骤             PackManager.v().getPack("cg").apply();        }                // If we don't have a FastHierarchy, we need to create it        // 构造整个应用的层级关系        hierarchy = Scene.v().getOrMakeFastHierarchy();                // Run the preprocessors          for (PreAnalysisHandler tr : preProcessors)              tr.onAfterCallgraphConstruction();     }</code></pre>    <p>下面就是构建最关键的ICFG图,我把它叫做数据流图,数据流图的构成推荐大家看flowdroid推荐的相关论文,很经典的算法,想要把它讲明白需要很大的篇幅,如果有机会,我会单独写一篇关于数据流图构成的文章,原论文中的数据流图在图形展示上会给人造成一些误解,容易造成混淆。生成ICFG代码如下所示,此处不再深入此代码。</p>    <pre>  <code class="language-java">   iCfg = icfgFactory.buildBiDirICFG(config.getCallgraphAlgorithm(), config.getEnableExceptionTracking());</code></pre>    <p>使用ICFG进行数据流分析,其代码是非常冗长的,但是这些代码大部分都是一些初始化的工作,看多了很容易把你绕晕,个人觉得这里面的关键操作主要在于两点:</p>    <p>一是对于source、sink点的统计,其代码如下所示;遍历应用所有的方法,然后使用scanMethodForSourcesSinks函数对方法内的source、sink进行统计,并返回该方法中包含的sink点的数量;</p>    <pre>  <code class="language-java">   for (SootMethod sm : getMethodsForSeeds(iCfg))        sinkCount += scanMethodForSourcesSinks(sourcesSinks, forwardProblem, sm);</code></pre>    <p>进入scanMethodForSourcesSinks方法,源码如下所示;其主要操作是通过判断方法是否存在方法体,如果存在方法体,则遍历方法体中的所有语句,soot中定义为Unit对象,可以将其强制转化为Stmt对象,可以理解为jimple形式的java语句,然后判断该语句是否在source、sink中包含,被包含的话,如果是source点,则首先将其作为初始0向量(ICFG图起始点)存入zeroValue中,然后保存到collectedSources容器中;如果是sink点则直接存储到collectedSinks容器中,这个寻找source点的方法,在后面介绍控制流图的时候会使用到。</p>    <pre>  <code class="language-java">private int scanMethodForSourcesSinks(final ISourceSinkManager sourcesSinks, InfoflowProblem forwardProblem, SootMethod m) {        if (getConfig().getLogSourcesAndSinks() && collectedSources == null) {           collectedSources = new HashSet<>();           collectedSinks = new HashSet<>();        }                int sinkCount = 0;        if (m.hasActiveBody()) {           // Check whether this is a system class we need to ignore           final String className = m.getDeclaringClass().getName();           if (config.getIgnoreFlowsInSystemPackages()                 && SystemClassHandler.isClassInSystemPackage(className))              return sinkCount;           // Look for a source in the method. Also look for sinks. If we           // have no sink in the program, we don't need to perform any           // analysis           PatchingChain<Unit> units = m.getActiveBody().getUnits();           for (Unit u : units) {              Stmt s = (Stmt) u;              if (sourcesSinks.getSourceInfo(s, iCfg) != null) {                 forwardProblem.addInitialSeeds(u, Collections.singleton(forwardProblem.zeroValue()));                 if (getConfig().getLogSourcesAndSinks())                    collectedSources.add(s);                 logger.debug("Source found: {}", u);              }              if (sourcesSinks.isSink(s, iCfg, null)) {                 sinkCount++;                 if (getConfig().getLogSourcesAndSinks())                    collectedSinks.add(s);                 logger.debug("Sink found: {}", u);              }           }        }        return sinkCount;     }</code></pre>    <p>二是调用前向追踪方法:forwardSolver.solve(),确认source点到sink点是否存在联通的数据路径,如果存在则认为是一个风险点。前向追踪的算法主要在heros中实现,此处不再展开;最终分析的结果保存在results变量中,通过以下方法将结果打印出来,源码如下所示:</p>    <pre>  <code class="language-java"> for (ResultSinkInfo sink : results.getResults().keySet()) {        logger.info("The sink {} in method {} was called with values from the following sources:",                   sink, iCfg.getMethodOf(sink.getSink()).getSignature() );        for (ResultSourceInfo source : results.getResults().get(sink)) {           logger.info("- {} in method {}",source, iCfg.getMethodOf(source.getSource()).getSignature());           if (source.getPath() != null) {              logger.info("\ton Path: ");              for (Unit p : source.getPath()) {                 logger.info("\t -> " + iCfg.getMethodOf(p));                 logger.info("\t\t -> " + p);              }           }        }     }</code></pre>    <p>至此我们比较简单的介绍了flowdroid的执行流程,对于控制流图的算法及heros的具体实现并没有做更深入的介绍,后续可能作为独立的文章进行分析。</p>    <h2>4、优化</h2>    <p>flowdroid无论从算法、实现上,还是从效果上都堪称是一款非常牛逼的产品,但是他也有个非常大的问题就是,太耗内存,分析时间太长,实际使用的价值很低,因此我常常称它为一个实验室的产品。那么有什么优化方法呢,首先需要明白造成flowdroid分析耗时的原因,其实无非就是apk较大时,代码量太大,造成数据流图(ICFG)呈现爆炸式增长,那么很明显的一条思路就是削减ICFG图的体量,我曾经的一个方法是只对几个相关联的文件构造ICFG图,这样就使得ICFG图体量呈现几何式的下降,分析速度肯定明显提升,但是这个方法比较适用于对风险进行验证,并不适用于分析。</p>    <p>最近在研究其他源码扫描工具(如我上篇文章的RIPS)的时候发现,这些工具在进行源码扫描的时候并没有进行所谓的数据流分析,更多的只是对调用关系进行分析。诚然数据流分析能够减少很多误报,但是这些误报在我们进行漏洞验证的时候可能很容易就排除掉,这样只使用控制流图进行风险分析看起来也是个不错的想法。进行控制流分析首先要获取Android应用的控制流图,下面的代码展示如何使用soot构造Android应用的控制流图,相关说明上文均有提及,此处不再进行详细说明。</p>    <pre>  <code class="language-java">SetupApplication app = new SetupApplication(androidPlatformPath, appPath);       app.calculateSourcesSinksEntrypoints("SourcesAndSinks.txt");       soot.G.reset();       Options.v().set_src_prec(Options.src_prec_apk);       Options.v().set_process_dir(Collections.singletonList(appPath));       Options.v().set_android_jars(androidPlatformPath);       Options.v().set_whole_program(true);       Options.v().set_allow_phantom_refs(true);       Options.v().setPhaseOption("cg.spark", "on");       Scene.v().loadNecessaryClasses();       SootMethod entryPoint = app.getEntryPointCreator().createDummyMain();       Options.v().set_main_class(entryPoint.getSignature());       Scene.v().setEntryPoints(Collections.singletonList(entryPoint));       System.out.println(entryPoint.getActiveBody());       PackManager.v().runPacks();       CallGraph appCallGraph = Scene.v().getCallGraph();</code></pre>    <p>获取控制流图后,下一步就是确定图中的两个点是否存在连线,假设这两个点为我们定义的source点、sink点,如果存在连线,即source点与sink点之间存在调用关系,那么就可以作为一个风险点抛出。那么如何确定是否存在调用关系,查看CallGraph的源码中是否定义了相关方法,发现存在findEdge这个方法,该方法用于寻找某个语句对于某个方法是否存在调用调用关系,如果把第一个参数u定义为一个sink点,即调用点,第二个参数callee定义为一个source点,那么便定义了他们之间的一种调用关系。unit的获取可以通过上面介绍的获取应用内source、sink点的方法获取。</p>    <pre>  <code class="language-java"> public Edge findEdge( Unit u, SootMethod callee )      {        Edge e = srcUnitToEdge.get(u);        while ( e.srcUnit() == u &&              e.kind() != Kind.INVALID ) {           if ( e.tgt() == callee )              return e;           e = e.nextByUnit();        }        return null;      }</code></pre>    <p>注:使用控制流分析本人并没有亲自试验,可能存在问题,望见谅。</p>    <p> </p>    <p>来自:http://www.freebuf.com/sectool/137435.html</p>    <p> </p>