第41篇：Klocwork代码审计/代码扫描工具的使用教程

从2023年04月16日开始，公众号名称正式由"ABC123安全研究实验室"更名为"希潭实验室"，ABC_123坚持99%原创，敬请关注。

 Part1 前言 

前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用，方便大家上手，本期介绍另一款商用代码审计工具Klocwork的使用。Klocwork是来自加拿大的代码审计工具，同样可以支持C++、java及c#等代码的审计工作。

求助：哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码审计工具的破解版或者是试用版，方便的话发我试用一下，保证不外传，保证不用于商业目的，Thanks♪(･ω･)ﾉ

 Part2 使用过程 

正版软件是需要加密狗授权的，我这里摸索出来一个标准步骤，方便大家上手少走弯路。Klocwork安装完成后，将以下两个路径添加到环境变量中：C:\Klocwork\10\CMD\bin，C:\Klocwork\10\Server\bin。在使用之前，首先删除C:\Klocwork\10\Server目录的log文件。

接下来分别启动Klocwork代码审计工具的3个服务，强烈建议大家不要选择一键启动，否则服务启动失败，难以排查原因出在哪里。

 1   启动license服务：

kwservice -r projects_root start license

 2   启动数据库服务：

kwservice -r projects_root start database

 3   启动Web服务和分析引擎：

kwservice -r projects_root start klocwork

访问如下URL地址，如果Web界面能够正常打开，说明前面步骤没有问题。

http://127.0.0.1:8085/portal/Portal.html

在正式开始审计Java代码前，需要设置一下Java编译环境，添加ANT环境变量%ANT_HOME%\bin如下。

接下来开始对Java代码进行编译。首先运行ant clean，等待编译完成，点击kwant之后，在你选择的java代码文件夹中会生成一个kwinject.out文件。

接下来连续运行3个命令：kwcheck create 、kwcheck import kwinject.out 、kwcheck run。

扫描完成之后，执行kwgcheck，会弹出一个软件界面，点击最下边的漏洞问题条目，即可对代码漏洞进行分析和查看。

如果出现中文乱码问题，可以在这里选择UTF-8编码。

Klocwork我用的不是很多，这篇文章旨在节省大家看长篇大论的说明书的时间。

 Part3 总结 

Help: Which friend has a cracked or trial version of Codesecure, Klockwork, and IBM Security AppScan Source? If it's convenient, send it to me for trial, and I guarantee that it will not be used for commercial purposes。Thanks♪(･ω･)ﾉ。Contact me by e-mail : 0day123abc#gmail.com(replace # with @)。

公众号专注于网络安全技术分享，包括APT分析、红队攻防、蓝队分析、渗透测试、代码审计、软件逆向等，每周一篇，99%原创，敬请关注。