工具简介

Jar-Analyzer是一款功能强大的 JAR 包分析工具，支持批量分析、SCA 漏洞检测、方法调用关系搜索、字符串搜索、Spring 组件分析、信息泄露检查等多种功能。

此外，还支持CFG 程序分析、JVM 栈帧分析、高级表达式搜索、字节码指令级动态调试分析等专业功能。你还可以一键反编译 JAR 包导出代码，快速提取序列化数据中的恶意代码，以及对 BCEL 字节码进行深入分析。

适用场景

1.方法定位：从海量 JAR 文件中快速查找某个方法在哪个类或 JAR 包中定义，精准到具体类和具体方法。

2.方法调用分析：查找所有调用 Runtime.exec 方法的位置，精确到具体类和方法。

3.字符串搜索：分析大量 JAR 文件中，包含特定字符串（如 ${jndi）的方法及其所在位置。

4.Spring 信息解析：提取所有 Spring 的 Controller/Mapping 信息，精准到具体方法。

5.Apache Log4j2 漏洞检测：快速扫描 JAR 包中是否存在 Log4j2 的已知漏洞（支持匹配所有 CVE）。

6.FASTJSON 漏洞检测：检查是否使用了存在漏洞的 FASTJSON 版本（如 47/68/80 等）。

7.安全漏洞检测：定位常见 Java 安全漏洞的调用位置，确保代码安全性。

8.JVM 指令参数分析：深入研究某个方法的 JVM 指令调用和传参（配备图形界面）。

9.JVM 栈帧分析：详细查看方法中的 JVM 指令和栈帧状态，支持可视化操作。

10.控制流图分析（CFG）：生成方法的控制流图，便于直观分析程序逻辑。

11.远程分析 Tomcat：远程提取和分析 Servlet、Filter、Listener 等关键信息。

12.序列化数据分析：一键提取序列化数据中的恶意类字节码，并深入分析。

13.BCEL 字节码反编译：快速反编译 BCEL 格式字节码，提取完整代码用于研究。

14.批量反编译：对大量 JAR 文件或目录进行批量反编译，一键导出所有源码。

15.信息泄露检测：扫描 JAR 包中可能存在的 IP 地址、手机号、邮箱等敏感信息。

16.字节码指令级别调试：深入调试字节码，精准掌控方法执行逻辑。

工具特点

1.支持大 JAR 包及批量 JAR 文件分析。

2.提供方法间调用关系的便捷搜索。

3.分析 LDC 指令，快速定位 JAR 包中的字符串。

4.一键分析 Spring 的 Controller/Mapping 信息。

5.对方法的字节码和指令进行高级分析。

6.一键反编译，优化对内部类的处理。

7.一键生成方法的控制流图（CFG）。

8.一键生成方法的栈帧分析结果。

9.支持远程分析 Tomcat 中的 Servlet 等组件。

10.自定义 SQL 语句，进行更高级的代码分析。

11.支持字符串搜索功能，帮助快速定位代码中的关键内容。

12.提供字节码指令级别的调试与远程分析。

13.提供序列化数据中恶意代码的一键提取与分析功能。

14.生成清晰的 HTML 方法调用图。

15.提供类似 IDEA 的全局搜索功能，快速定位代码片段。

16.提供批量反编译 JAR 包功能，并支持优化导出源码。

17.支持一键信息泄露检查，帮助发现潜在的敏感信息暴露问题。

18.支持灵活的主题切换与实时系统资源监控。

19.提供栈帧与控制流的高级图形化分析能力。

20.优化方法跳转定位功能，精确到具体位置。

功能演示

1、一键快速搜索，支持通过配置动态生成 GUI 按钮

例如一个 Runtime.exec 的动态规则（配好后直接生成按钮和搜索逻辑）

  Runtime.exec:
    - !!me.n1ar4.jar.analyzer.engine.SearchCondition
      className: java/lang/Runtime
      methodName: exec
      methodDesc: null

2、静态分析 spring 项目

3、通过 agent 分析 tomcat

4、自定义表达式搜索

5、支持信息泄露检查

6、支持IDEA一样快捷键两次 shift 调出 Lucene 全局搜索

7、增强批量反编译 Jar 导出功能

8、支持选择启动引擎和使用 JD-GUI 快速查看两种方式

• 启动引擎分析通常是非常耗时的操作，有时候没有必要完全分析
• 启动 JD-GUI 可以快速反编译和查看字节码，用于某些场景

9、查看方法调用关系

10、支持jar远程加载

11、支持从序列化数据中一键提取恶意代码

12、支持实时的 CPU 和内存占用分析，选中字符高亮

13、支持表达式搜索，可以自定义多种条件组合搜索方法

工具获取

关注后 到个人主页置顶的 微头条 获取！

写在最后

1000+优质开源项目更新进度：114/1000。如需更多类型优质项目推荐，请在文章后留言。

大家有想获取的其他工具或者项目、合作，可以在下方留言或者后台私信。

如果这篇文章对您有帮助， "彦祖们" 一定帮我点个 "关注" 和 "点赞" ，这对我非常重要。我将会继续推荐更多优质项目和新闻！

#开源项目精选#

#Github#

#Gitee#