Joern安装与使用

环境准备

Joern需要在Linux环境中运行，所以在Windows系统中需要借助WSL或虚拟机安装。

JDK安装

Joern的运行需要JAVA环境的支持，本次采用的是JDK17，其他版本建议看一下Joern官方文档。

apt install openjdk-17-jre-headless

配置JAVA环境变量

安装Vim
sudo apt-get install vim
添加环境变量
sudo vim /etc/environment
在文件最后添加
JAVA_HOME=“/usr/lib/jvm/java-17-openjdk-amd64/bin/java”
重新加载环境
source /etc/environment

安装Joern(用时较久)

sudo snap install curl
mkdir joern && cd joern
curl -L “https://github.com/joernio/joern/releases/latest/download/joern-install.sh” -o joern-install.sh
chmod u+x joern-install.sh
./joern-install.sh --interactive

启动Joern

可视化

Joern的可视化依赖于对应工具

sudo apt-get install graphviz
sudo apt-get install graphviz graphviz-doc
sudo apt-get install xdot

在启动的控制台中，需要先导入项目

importCode(inputPath=“./planning”, projectName=“planning”)
下次可以使用以下命令打开
open(“planning”)
注：导入JAVA文件时目标是jar，C文件时目标是文件夹

利用不同命令可以绘制对应图形
Abstract Syntax Trees (抽象语法树)
Control Flow Graphs (控制流图)
Control Dependence Graphs (控制依赖图)
Data Dependence Graphs (数据依赖图)
Program Dependence graphs (程序依赖图)

cpg.method($name).plotDotAst…
输出文本形式

cpg.method($name).dotAst.l…

常用命令

列出分析结果
一些方法统计可能存在错误，测试的时候虽然传入了完整的Planning模块代码，但对照函数似乎只解析了Common中的文件(可能支持拓展)