基于soot的过程内数据流分析

程序静态分析

程序静态分析（program static analysis）是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。（百度百科）

静态分析中的xxx-sensitive的一些理解：

（此内容来自知乎）

xxx-sensitive是指静态分析中用于降低误报（false positive）的技术。存在flow-、path-、context-。

flow-insensitive：是把statements当作一个集合来看的，各个statement之间没有顺序，所以control flow statement（if、while）可以直接删除；flow-sensitive是说要关注statements之间的先后顺序。

path-insensitive：if、while静态分析时不知道动态的执行路线（path），所以一般会把它们不同的分支的数据流集merge起来。而path-sensitive则针对不同的路径的数据集不会merge，而是分别进行分析；

context-insensitve：只关心function之间的数据传递（参数、返回值、side-effect）而忽略了同一函数在不同call side下不同的context，即忽略了call stack。将call site和return当作goto，并添加一些赋值语句，这样造成的情况是，第一个call site处正常，第二个call site时返回值可能出现两个。

静态分析时，无论是分析源代码还是目标代码，分析的对象（方法、语句、变量）都只有一份：同一个方法我们只会写一个方法体（方法体里的语句也就只有一份）。同一个变量只会声明一次。然后动态运行程序的时候：

一个方法可能会被调用N次，每次调用的上下文可以不一样，不同上下文中这个方法里的变量的值会不同；一个方法里，一个变量的不同位置的值也会不一样；一个方法里同一个位置的变量的值在程序执行不同路径时也不一样。写的方法、语句、变量在动态运行时仿佛有了“分身”，每个分身都有自己的值。静态分析的时候对于同一个对象只能看到一个实体，如果直接分析，一个变量所有“分身”的相关属性会全部合并，并且一个变量的属性合并了，会影响其他变量的分析结果。

静态分析为得到准确的结果，就得为分析的对象模拟动态运行时的分身。

xxx-sensitive就是在静态分析时，按照xxx给程序里的对象（模拟动态运行）创建“分身”（或者说按照xxx区分分析对象）：按照上下文区分叫作context-sensitive；按照位置区分叫作flow-sensitive；按照路径区分叫作path-sensitive。区分之后就可以减少false positive。

数据流分析

（此内容来自龙书）

数据流分析：指的是一组用来获取有关数据如何沿着程序执行路径（control-flow graph）流动的相关信息的技术。

在所有的数据流分析应用中，我们都会把每个程序点和一个数据流（data-flow value）关联起来。这个值是在该点可能观察到的所有程序状态的集合的抽象表示。所有可能的数据流值的集合称为这个数据流应用的域（domain）。

我们把每个语句s之前和之后的数据流值分别记为IN[s]和OUT[s]。数据流问题（data-flow problem）就是要对一组约束求解。这组约束对所有的语句s限定了IN[s]和OUT[s]之间的关系。约束分为两种：基于语句语义（传递函数）的约束和基于控制流的约束。

数据流分析一般分为：intra-procedural analysis和inter-proceduralanalysis，在上篇Phase中提到，jtp pack和wjtp pack可以分别被用来实现自定义的数据流分析

实现数据流分析前需要搞清楚的问题：

数据流的方向（前向、后向）；交汇运算采用交集还是并集（当path-insenstitive时）；传递函数；数据流集合的初始化。

采用soot框架实现过程内数据流分析

（此部分内容参考点击打开链接）

1. 过程内数据流分析

过程内数据流分析（intra-proceduraldata-flow analysis）指在一个单独方法的控制流图上操作。在soot中的控制流图为UnitGraph。UnitGraph中节点表示statements，如果在控制流上一个表示source node流向target node，那么这两个结点存在边（edge）。

数据流分析都与unitgraph每个节点上的两个元素有关，这两个集合被称为：in-set和out-set。这些集合会被初始化，然后沿着语句节点传播，指导一个定点抵达才停止。

最后，你要做的就是检查每个句子的前后的flow set。通过设计的数据流分析，你的flow sets应该会直接告诉你所需要的信息。

2. Forward、backward orbranched（解决数据流的方向问题）？

在soot中FlowAnalysis存在三种不同类型的方法：

ForwardFlowAnalysis：这个分析以UnitGraph的entrystatement作为开始并开始传播；

BackwardsFlowAnalysis：这个分析以UnitGraph的exit node(s)作为分析并且向后开始传播（当然可以将UnitGraph转换产生inverseGraph，然后再使用ForwardFlowAnalysis进行分析）；

ForwardBranchedFlowAnalysis：这个分析本质上也是Forward分析，但是它允许你在不同分支处传递不同的flow sets。例如：如果传播到如if(p!=null)语句处，当“p is not null”时，传播进入“then”分支，当“p is null”时传播进入“else”分支（Forward、backward分析都在分支处会将分析结果merge）。

3. 实现过程间数据流分析的关键方法

Constructor

必须实现一个携带DirectedGraph作为参数的构造函数，并且将该参数传递给super constructor。然后，在构造函数结束时调用doAnalysis()，doAnalysis()将真正执行数据流分析。而在调用super constructor和doAnalysis之间，可以自定义数据分析结构。

<span style="font-size:14px;">public MyAnalysis(DirectedGraph graph) { //构造函数super(graph);// TODO Auto-generated constructor stubemptySet = new ArraySparseSet();doAnalysis();//执行fixed-point
}</span>

newInitialFlow()和entryInitialFlow()（数据流集合的初始化问题）

newInitialFlow()方法返回一个对象，这个对象被赋值给每个语句的in-set和out-set集合，除过UnitGraph的第一个句子的in-set集合（如果你实现的是backwards分析，则是一个exit statement语句）。第一个句子的in-set集合由entryInitialFlow()初始化。

<span style="font-size:14px;">@Override
protected Object newInitialFlow() {// TODO Auto-generated method stubreturn emptySet.emptySet();
}@Override
protected Object entryInitialFlow() {// TODO Auto-generated method stubreturn emptySet.emptySet();
}</span>

copy(..)

copy(..)方法携带两个参数，一个source和一个target。它仅仅实现将source中的元素拷贝到target中。

<span style="font-size:14px;">@Override
protected void copy(Object source, Object dest) {// TODO Auto-generated method stubFlowSet srcSet = (FlowSet)source,destSet = (FlowSet)dest;srcSet.copy(destSet);
}</span>

merge(..)（数据流的交汇运算问题）

merge(..)方法被用来在control-flow的合并点处合并数据流集，例如：在句子(if/then/else)分支的结束点。与copy(..)不同的是，它携带了三个参数，一个参数是来自左边分支的out-set，一个参数是来自右边分支的out-set，另外一个参数是两个参数merge后的集合，这个集合将是合并点的下一个句子的in-set集合。

注：merge(..)本质上指的是控制流的交汇运算，一般根据待分析的具体问题来决定采用并集还是交集。

<span style="font-size:14px;">@Override
protected void merge(Object in1, Object in2, Object out) {// TODO Auto-generated method stubFlowSet inSet1 = (FlowSet)in1,inSet2 = (FlowSet)in2,outSet = (FlowSet)out;//inSet1.union(inSet2, outSet);inSet1.intersection(inSet2, outSet);
}</span>

flowThrough(..)（数据流的传递函数问题）

flowThrough(..)方法是真正执行流函数，它有三个参数：in-set、被处理的节点（一般指的就是句子Unit）、out-set。这个方法的实现内容完全取决于你的分析。

注：flowThrough()本质上就是一个传递函数。在一个语句之前和之后的数据流值受该语句的语义的约束。比如，假设我们的数据流分析涉及确定各个程序点上各变量的常量值。如果变量a在执行语句b=a之前的值为v，那么在该语句之后a和b的值都是v。一个赋值语句之前和之后的数据流值的关系被称为传递函数。针对前向分析和后向分析，传递函数有两种风格。

<span style="font-size:14px;">@Override
protected void flowThrough(Object in, Object d, Object out) {// TODO Auto-generated method stubFlowSet inSet = (FlowSet)in,outSet = (FlowSet)out;Unit u = (Unit) d;kill(inSet,u,outSet);gen(outSet,u);
}private void kill(FlowSet inSet, Unit u, FlowSet outSet) {// TODO Auto-generated method stubFlowSet kills = (FlowSet)emptySet.clone();//Unit的killsIterator defIt = u.getDefBoxes().iterator();while(defIt.hasNext()){ValueBox defBox = (ValueBox)defIt.next();if(defBox.getValue() instanceof Local){Iterator inIt = inSet.iterator();while(inIt.hasNext()){Local inValue = (Local)inIt.next();if(inValue.equivTo(defBox.getValue())){kills.add(defBox.getValue());}}<span style="white-space:pre">  </span>}}inSet.difference(kills, outSet);
}private void gen(FlowSet outSet, Unit u) {// TODO Auto-generated method stubIterator useIt = u.getUseBoxes().iterator();while(useIt.hasNext()){ValueBox e = (ValueBox)useIt.next();if(e.getValue() instanceof Local)outSet.add(e.getValue());}
}</span>

Flow sets

（此部分内容参考点击打开链接）

在soot中，flow sets代表control-flowgraph中与节点相关的数据集合。Flow set存在有界限的（interface BoundedFlowSet）和无界限的（interfaceFlowSet）两种表达。有界限的集合知道可能值的全体集合，而无界限的集合则不知道。

Interface FlowSet<T>提供的关键方法有：

<span style="font-size:14px;">FlowSet<T> clone() //克隆当前FlowSet的集合
FlowSet<T> emptySet() //返回一个空集，通常比((FlowSet)clone()).clear()效率更高
void copy(FlowSet<T> dest) //拷贝当前集合到dest集合中
void union(FlowSet<T> other) //FlowSet∪other = FlowSet
void union(FlowSet<T> other,FlowSet<T> dest) // FlowSet∪other = dest，其中other、dest可以与该FlowSet一样
void intersection(FlowSet<T> other) //FlowSet∩other = FlowSet
void intersection(FlowSet<T> other,FlowSet<T> dest) // FlowSet∩other = FlowSet，其中，dest、other可以和该FlowSet一样
void difference(FlowSet<T> other) // FlowSet-other = FlowSet
void difference(FlowSet<T> other,FlowSet<T> dest) // FlowSet-other = dest,其中，dest、other和FlowSet可能相同。
</span>

还有isEmpty()、size()、add(T obj)、remove(T obj)、contains(Tobj)、isSubSet(FlowSet<T> other)、iterator()、toList()等。

上述方法足以使flow sets成为一个有效的lattice元素。

当实现BoundedFlowSet时，它需要提供方法，该方法能够产生set‘s complement和its topped set（一个lattice element包括所有的可能的值的集合）。

Soot提供了四种flow sets的实现：ArraySparseSet,ArrayPackedSet,ToppedSet和DavaFlowSet。

ArraySparseSet:是一个无界限的flowset。该set代表一个数组引用。注意：当比较元素是否相等时，一般使用继承自Object对象的equals。但是在soot中的元素都是代表一些代码结构，不能覆写equals方法。而是实现了interface soot.EquivTo。因此，如果你需要一个包含类似binary operation expressions的集合，你需要使用equivTo方法实现自定义的比较方法去比较是否相等。

针对intra-procedural analysis，本人实现了一个活跃变量的代码

import java.util.Iterator;import soot.Local;
import soot.Unit;
import soot.ValueBox;
import soot.toolkits.graph.DirectedGraph;
import soot.toolkits.scalar.ArraySparseSet;
import soot.toolkits.scalar.BackwardFlowAnalysis;
import soot.toolkits.scalar.FlowSet;class MyAnalysis extends BackwardFlowAnalysis{private FlowSet emptySet;public MyAnalysis(DirectedGraph graph) { //构造函数super(graph);// TODO Auto-generated constructor stubemptySet = new ArraySparseSet();doAnalysis();//执行fixed-point}@Overrideprotected void flowThrough(Object in, Object d, Object out) {// TODO Auto-generated method stubFlowSet inSet = (FlowSet)in,outSet = (FlowSet)out;Unit u = (Unit) d;kill(inSet,u,outSet);gen(outSet,u);}private void kill(FlowSet inSet, Unit u, FlowSet outSet) {// TODO Auto-generated method stubFlowSet kills = (FlowSet)emptySet.clone();//Unit的killsIterator defIt = u.getDefBoxes().iterator();while(defIt.hasNext()){ValueBox defBox = (ValueBox)defIt.next();if(defBox.getValue() instanceof Local){Iterator inIt = inSet.iterator();while(inIt.hasNext()){Local inValue = (Local)inIt.next();if(inValue.equivTo(defBox.getValue())){kills.add(defBox.getValue());}}}}inSet.difference(kills, outSet);}private void gen(FlowSet outSet, Unit u) {// TODO Auto-generated method stubIterator useIt = u.getUseBoxes().iterator();while(useIt.hasNext()){ValueBox e = (ValueBox)useIt.next();if(e.getValue() instanceof Local)outSet.add(e.getValue());}}@Overrideprotected Object newInitialFlow() {// TODO Auto-generated method stubreturn emptySet.emptySet();}@Overrideprotected Object entryInitialFlow() {// TODO Auto-generated method stubreturn emptySet.emptySet();}@Overrideprotected void merge(Object in1, Object in2, Object out) {// TODO Auto-generated method stubFlowSet inSet1 = (FlowSet)in1,inSet2 = (FlowSet)in2,outSet = (FlowSet)out;//inSet1.union(inSet2, outSet);inSet1.intersection(inSet2, outSet);}@Overrideprotected void copy(Object source, Object dest) {// TODO Auto-generated method stubFlowSet srcSet = (FlowSet)source,destSet = (FlowSet)dest;srcSet.copy(destSet);}}