几种C/C++语言安全检测工具介绍

最新推荐文章于 2026-04-23 12:47:29 发布
原创 最新推荐文章于 2026-04-23 12:47:29 发布 · 2.7k 阅读 · 1
标签
#工具 #语言 #正则表达式 #工作 #代码分析
#assembly
本文介绍了多种用于C/C++语言的安全检测工具,包括FormatGuard、LibFormat、ANTLR、GOLD、Its4、Flawfinder、Rats、Cqual、splint、Cppcheck、Frama-C、Flexc++、Fortify SCA以及IDA和OllyDbg。这些工具通过不同的分析方法,如格式串检测、词法分析、语法分析、语义分析,以及静态和动态扫描,帮助开发者发现潜在的安全漏洞和编程错误。
针对C/ C++语言 安全漏洞的分析检测也出现了大量的工具,按照不同的机理主要分为以下几类,如表所示:
分析类型 机理 分析工具 备注
静态分析 预处理 FormatGuard 预处理提供的宏功能来对printf函数中的参数个数进行计数
词法分析 Rats、Flawfinder、Its4 见后文介绍
语法分析 Antlr/Gold 见后文介绍
注解分析 Splint/ 见后文介绍
语义/值流分析 Cqual 见后文介绍
逆向分析 IDA/ Win32Dasml 反汇编工具
动态分析 拦截库函数的调用 LibFormat 见后文介绍
逆向分析 OllyDbg/ Windbg 动态调试工具,常结合静态反汇编工具对程序进行逆向分析
最低0.47元/天 解锁文章
mai0net
关注
flawfinder:一种用于在 CC++ 源代码中查找漏洞的静态分析工具
08-05
关于 这是“探伤者”。 Flawfinder 是一个简单的程序,可以扫描 C/C++ 源代码并报告潜在的安全漏洞。 它可以是检查软件漏洞的有用工具,也可以更广泛地作为对静态源代码分析工具的简单介绍。 它的设计易于安装和使用。 Flawfinder 支持 Common Weakness Enumeration (CWE) 并正式与 CWE 兼容。 有关更多信息,请参阅 平台 Flawfinder 旨在作为命令行工具在 Unix/Linux/POSIX 系统(包括 Cygwin、基于 Linux 的系统、MacOS 和各种 BSD)上使用。 它需要 Python 2.7 或 Python 3。 安装 如果你只是想使用它,你可以使用 Python 的“pip”或系统的包管理器(flawfinder 有许多系统的包)安装缺陷查找器。 它还支持按照通常的make install源安装约定轻松安装
金山卫士漏洞扫描C++源码
12-11
金山卫士漏洞扫描C++源码 放在这里留个底。
我终于找到一个 地球上最牛的,解释器框架 GOLD 还有 ANTLR
体力无边,干倒一切。
02-29 743
我终于找到一个地球上最牛的,解释器框架 https://www.cnblogs.com/chenxx08/p/3913198.html?utm_source=tuicool&utm_medium=referral https://www.xuebuyuan.com/707981.html 这次誓死造出来新语言。 因为我已经想好了。 想了n年。不早出来,那有点感...
windows fortifySCA 扫描 c/c++ 项目
SHELLCODE_8BIT的博客
04-15 4393
例如 Clion 构建的项目cmakeLists.txt 文件,添加了如下 3 个依赖,gcc 编译时需要添加编译选项:-I -L -l 用于设置依赖路径,最后再指定 Windows 环境下的依赖 -lws2_32 -lshlwapi -lnetapi32,防止报 : undefined reference to `__imp_recv' 之类的错误。进行扫描时记得添加编译选项,和正常的 gcc 编译一样。下载解压,把它的 bin 目录路径设置到环境变量中。
Steam ROM Manager 解析器详解:从 Glob 到平台解析器的完整使用说明
最新发布
gitblog_00852的博客
04-23 668
Steam ROM Manager 是一款强大的游戏批量导入和 artwork 管理工具,能够帮助玩家轻松将各类游戏整合到 Steam 平台中。本文将详细介绍其核心解析器功能,从基础的 Glob 解析器到各类平台专用解析器,助你快速掌握游戏导入的全部技巧。 ## 解析器类型总览:4大类别16种解析方案 Steam ROM Manager 提供了丰富的解析器类型,根据功能可分为四大类: - *
【软件测试】使用C++ Test进行动态测试
ly_6699的博客
08-14 8283
测试目的 1.掌握动态测试的方法。 2.掌握使用Parasoft C++ Test进行动态测试。 测试环境 Windows XP, Parasoft C++ Test 9.2 测试内容 使用Parasoft C++ Test进行动态测试,包括自动化测试、自定义测试用例、数据源测试用例、桩函数机制。 测试过程及结果 4.1 基于C++Test 自动化测试 1.了解和熟悉自动化单元测试配置 2.自动...
关于Fortify扫描C/C++代码
xiangxiao1842的博客
04-09 3509
Fortify安装过程中有一个步骤是安装插件,提供Visual Studio、eclipse、IDEA的插件,选取后会自动检测已安装的IDE安装对应的插件。Fortify扫描C/C++代码时需做编译的动作,直接用Fortify扫描会得不到扫描结果,用VS的插件才可以。先说结论:Fortify扫描C/++代码需通过VS的插件,直接在Fortify扫描是得不到结果的。
动态内存检测工具 Valgrind
人无远虑,必有近忧
11-07 5809
Valgrind是一个GPL的软件,用于Linux(For x86, amd64 and ppc32)程序的内存调试和代码剖析。你可以在它的环境中运行你的程序来监视内存的使用情况,比如C语言中的malloc和free或者 C++中的new和delete。使用Valgrind的工具包,你可以自动的检测许多内存管理和线程的bug,避免花费太多的时间在bug寻找上,使得你的程序更加稳固。
c 语言 测试工具,几种C/C++语言安全检测工具介绍
weixin_35698659的博客
05-18 2041
描述:(1)输入待扫描的源程序文件或者文件夹,分析输入的文件和文件夹,识别出其中的所有源程序文件,建立一个待扫描文件列表,下一步就可以从待扫描文件列表中有序的读取带扫描文件进行扫描。(2)当词法分析工具得到一行待分析文件的源代码的同时,从危险函数数据库中提取一个等级的危险函数与该行源代码进行匹配,这就是初步分析。(3)如果在初步分析中匹配成功,那么词法分析工具将使该行代码进入下一步的分类特征分析,...
Parasoft C/C++test如何实现开发环境内嵌的安全检测
2501_91602431的博客
09-02 828
Parasoft 作为嵌入式质量与安全领域的全球领先供应商,其 C/C++test 平台依托 IDE 级原生集成、实时合规检测引擎与缺陷闭环治理框架,将传统静态应用安全测试由项目末期集中执行前移至编码阶段,显著降低缺陷修复成本并缩短认证周期,为企业在严苛的功能安全与国际化合规要求下提供持续、可验证的竞争优势。
c/c++开发之内存错误检查工具asan、lsan、msan的介绍
jjkkzzzz的博客
05-07 2382
本文介绍了asan、lsan、msan是什么,以及asan、lsan、msan的基本使用
动态分析C语言代码生成函数调用关系的利器——gprof
方亮的专栏
01-30 2213
gprof是一个C语言程序性能分析工具。在编译期间,我们给编译指令增加-pg选项,就可以将检测代码插入到源码中。然后使用gprof启动编译程序,它会收集程序运行的流程以及其他相关数据。最后我们使用gprof2dot将这些数据转换成dot文件,使用graphviz进行图形化展示。以中的libevent为例。
c hello world_编程小白之【C语言】- 第一个C程序代码分析
weixin_39629188的博客
11-29 239
一、代码分析 打开项目中的main.c文件(C程序的源文件拓展名为.c),可以发现它是第一个C程序中的唯一一个源文件,代码如下:1.#include <stdio.h> ◐ #include 是C语言的预处理指令之一,所谓预处理,就是在编译之前做的处理,预处理指令一般以 # 开头 ◐ #include 指令后面会跟着一个文件名,预处理器发现 #inc...
C语音单元测试工具
qq_29017813的博客
10-21 2308
在C语言中, 尽早发现错误,错误发现越早,成本越低。开发人员过于自信,后期复杂度高,发现解决BUG困难.检查代码是否符合设计和规范
C语言程序漏洞检测
qq_43582136的博客
12-19 629
这些工具都可以帮助你检测 C 语言程序中的漏洞,但是要注意,它们并不能保证能够检测到所有的漏洞。5.clang:这是一个编译器,具有强大的静态代码分析功能,可以检测 C 和 C++ 代码中的潜在问题,4. cppcheck:这是一个开源的静态代码分析工具,可以检测 C++ 代码中的潜在问题。1.lint:这是一个常用的代码检査工具,可以检查代码中的语法错误、风格问题和潜在的错误。2.splint:这是一个静态代码分析工具,可以检查代码中的潜在的安全漏洞和缺陷。有很多工具可以检查 C 语言程序的漏洞。
【源代码扫描工具】-fortify SCA使用
热门推荐
zhaizhai的博客
06-30 1万+
1-Fortify SCA 静态分析原理1)Translation-把各种语言的源代码转为一种统一的中间语言代码。      即通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C...
【代码质量】C++代码质量扫描主流工具深度比较
wetest_tencent的博客
05-27 2683
本文由腾讯WeTest团队提供,未经授权严禁转载!更多资讯可直接戳链接查看:http://wetest.qq.com/lab/ 微信号:TencentWeTest文/张蓓 引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证...
C++ 免费代码质量扫描分析工具软件
程序猿视角
02-04 1591
这些工具都有自己的特点和优势,可以根据实际需要选择适合自己的工具。同时,这些工具也可以集成到CI/CD流程中,帮助团队持续提高代码质量。
嵌入式软件工程师 常用的C语言代码 备用,用的时候不用到处找了?
wangxiansheng121的博客
01-22 689
这些代码示例代表了嵌入式开发中常用的一些利剑级别的C语言工具代码。它们在嵌入式系统开发中具有广泛的应用,有助于优化性能、节省资源并提高代码的可维护性。以下是一些利剑级别的C语言工具代码示例,以及它们的简要讲解。循环队列是一种高效的数据结构,适用于缓冲区和数据流应用,例如串口通信接收缓冲。该函数将给定的无符号整数的位进行反转,可以用于某些嵌入式系统中的位级操作需求。用于创建一个只有指定位被置位的位掩码,可用于位操作。实现简单的位集合数据结构,用于管理一组位的状态。用于在已排序的数组中执行二进制查找的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值