java中包含操作系统级命令的包有哪些？

Question

我想检测给定的程序是否可以执行恶意操作，例如分叉、进程间管道、输入/输出重定向、文件处理等。 实际上我正在开发一个检查java代码的程序，并且不希望编码器以任何方式损害我的代码检查系统。
我应该在代码中查找哪些包来确保这一点？
提前致谢... ！

Answer 1

您的检查是在编译时还是在运行时进行？

• 如果您在运行时检查，则可以使用具有权限的安全管理器。查看安全管理器教程。有一个广泛的权限列表。您可以禁止文件访问，甚至打开框架。

• 对于基类，您必须小心使用java.lang.Runtime和java.lang.System、java.lang.ProcessBuilder< /代码>。它们创建java.lang.Process。另外，java.io.File、java.io.FileDescriptor，甚至可能是 Sockets 和 java.nio.* 在操作系统/文件系统上运行.

• 我也不允许反射，java.lang.reflect.*，并且java.lang.Class的一些方法也是反射的。按名称加载类可能会解决您的检查问题。 java.beans.* 中的一些类也使用反射。

• 根据您的需求，您甚至可能希望用户代码在

• 正如 Colin HEBERT 之前指出的那样，native 也是危险的。但其中一些是肯定需要的，例如 Object 的方法。

Answer 2

您应该考虑检查所有标记为“本机”的方法。

Answer 3

许多操作系统交互功能是在 java.lang.Runtime 和 java.lang.System 中提供的。请注意，这些不需要导入，因为它们位于 java.lang 包中。

但是...如果您只是分析代码，为什么要关心它包含的调用内容呢？也许您应该查看 Java Security 而不是调用哪些类。

Answer 4

简短的回答：java.lang。我相信这是唯一一个“开箱即用”的包，其中包含允许您访问操作系统功能的类。好吧，我在这里假设您不将 I/O 包含为“与操作系统相关”的东西。如果这样做，那么您还必须包含 java.io、javax.swing 和其他几个包。

更长的答案：程序员可以编写自己的 JNI 函数来与操作系统交互，并将它们放入他喜欢的任何包中。试图识别这一点可能非常棘手。好吧，我想你可能会说任何“本机”函数都会自动受到怀疑。