VCG(VisualCodeGrepper)安装使用教程

一、说明

代码审计工具看来还是比较难做，一是开源的代码审计工具少，二是原本的一些开源审计工具很多都不更新甚至不能使用了。

VCG支持审计C++、Java、C#、PHP和VB，但其“审计”基本相当于函数查找，比如如果找到strcpy等可能引起溢出的函数就在报告中列出来，并没有做进一步分析。

总的而言聊胜于无吧，VCG毕竟是少数还能用的开源审计工具之一了。

二、安装使用

2.1 下载

下载地址：https://sourceforge.net/projects/visualcodegrepp/?source=directory

2.2 安装

双击下载的安装程序

选择安装目录

确认安装

完成安装

2.3 使用

2.3.1 启动VCG

通过VCG自通创建的快捷方式或到安装路径下双击启动VCG，界面如下

2.3.2 指定要审计的项目所用的编程语言

我这里也以C++项目为例，默认就是C++可以不用指定所以我这里可以不用指定，但对于Java等其他语言的项目如果不指定那在下一步中是加载不进文件的。

2.3.3 加载审计文件

File----New Target Directory选择自己要进行代码审计的目录（如是是单个文件也可以使用下方的New Target File）

选定后如下图所示，要审计的文件会加载到Target Files选项卡中

2.3.4 开始审计

Scan----Full Scan

审计完成后VCG会自动切换到Results选项卡，该选项卡展示所有VCG审计出的问题。开头的MEDIUM等是问题评级，后边和下边是问题的具体描述。

2.3.5 保存审计结果

如果审计的代码很多，报的问题很多可以将审计结果保存，以便下次导入就能查看而不用重新审计。

File----Export Results as XML即可导出。以后通过下边的Import Results from XML File导入即可在继续Results选项卡中查看问题。