Jar Analyzer 是一个分析 Jar 文件的 GUI 工具:
- 支持大
Jar以及批量Jars分析 - 方便地搜索方法之间的调用关系
- 分析
LDC指令定位Jar中的字符串 - 一键分析
Spring Controller/Mapping - 对于方法字节码和指令的高级分析
- 一键反编译,优化对内部类的处理
- 一键生成方法的
CFG分析结果 - 一键生成方法的
Stack Frame分析结果 - 远程分析
Tomcat中的Servlet等组件 - 自定义
SQL语句进行高级分析 - 集成
ClazzSearcher项目作为命令行分析版本 - 允许从字节码层面直接修改方法名(测试功能)
- 自从
2.14版本之后支持了全屏显示的功能
更多的功能正在开发中
有问题和建议欢迎提 issue
Jar Analyzer 的用途
- 场景1:从大量
JAR中分析某个方法在哪个JAR里定义(精确到具体类具体方法) - 场景2:从大量
JAR中分析哪里调用了Runtime.exec方法(精确到具体类具体方法) - 场景3:从大量
JAR中分析字符串${jndi出现在哪些方法(精确到具体类具体方法) - 场景4:从大量
JAR中分析有哪些Spring Controller/Mapping信息(精确到具体类具体方法) - 场景5:你需要深入地分析某个方法中
JVM指令调用的传参(带有图形界面) - 场景6:你需要深入地分析某个方法中
JVM指令和栈帧的状态(带有图形界面) - 场景7:你需要深入地分析某个方法的
Control Flow Graph(带有图形界面) - 场景8:你有一个
Tomcat需要远程分析其中的Servlet/Filter/Listener信息 - 场景9:查实现接口
A继承接口B类注解C且方法名test方法内调用D类a方法的方法
漏洞公告
- 反编译恶意的 CLASS 文件可能导致程序不可用 (GHSA-43rf-3hm4-hv5f )
- Jar Analyzer 2.13 版本之前存在 SQL 注入漏洞 (GHSA-x5h2-78p8-w943)
指令分析
CFG 分析
带图形的 Stack Frame 分析
分析 Spring Framework
从 2.8 版本开始支持 tomcat 分析(一检查杀内存马)
自定义 SQL 语句任意分析
方法调用搜索 (支持 equals/like 选项,支持黑名单过滤)
方法调用关系
Jar Analyzer 2.12 版本以后使用自研 RASP 保护程序
(Runtime Application Self-Protection)
