项目地址：https://github.com/jar-analyzer/jar-analyzer

JAR 包分析这件事，做 Java 安全的人都绕不开。反编译看代码、搜方法调用、追调用链、找危险函数——每次都要在 IDEA、JD-GUI、codeql 之间来回切换，效率很低。

Jar Analyzer 把这些需求全塞进了一个 GUI 工具里。拖进去一堆 JAR，直接点点鼠标就能完成大部分代码审计工作。截至 2026 年 3 月，这个项目在 GitHub 已经有约 2k star，连续更新 5 年，发布了 59 个版本，完全开源免费。

* * *

## 它能做什么

先说最直接的——你手里有一堆 JAR 包，想快速搞清楚里面的代码结构和潜在风险。Jar Analyzer 覆盖的场景非常广：

**基础分析能力**

*   支持 Jar/War/Classes 三种输入格式，支持多文件批量加载，也能处理嵌套的 FatJar
    
*   内置 Fernflower 改进版反编译引擎，双击即可查看反编译代码
    
*   使用 JavaParser 精确定位方法位置，类似 IDEA 的代码跳转体验
    
*   黑白名单过滤，构建数据库和搜索都支持按类名/包名过滤

**方法调用分析**

这是 Jar Analyzer 的看家本领：

*   构建方法调用关系数据库，可以正向搜"谁调了这个方法"，也可以反向搜"这个方法调了谁"
    
*   支持精确搜索和模糊搜索
    
*   基于 DFS（深度优先搜索）算法的调用链分析，能自动追踪从 source 到 sink 的完整路径
    
*   5.7 版本之后加入了模拟 JVM 的污点分析，可以验证 DFS 推导出来的调用链是否真的可达

![Jar Analyzer 暗色主题界面，左侧文件树+右侧功能面板](/media/202604/de82b6e74cbd4403a8abb83e92b9bf3f5814.png)

Jar Analyzer 暗色主题界面，左侧文件树+右侧功能面板

## 实战场景

### 场景一：从 JAR 包里找危险调用

你拿到一个 Java 应用的所有依赖 JAR，想快速扫一遍有没有 `Runtime.exec`、`ProcessBuilder.start`、`readObject` 这些常见的危险调用。

直接在 GUI 里切到漏洞搜索面板，按风险等级筛选，点一下就出结果。每个结果会精确到类名和方法名，双击直接跳到反编译代码。

![Java 漏洞一键搜索面板](/media/202604/5f537a5539a94aea93402e85b2dc79f35923.png)

Java 漏洞一键搜索面板

### 场景二：追一条完整的漏洞利用链

比如你在审计一个 Spring Boot 应用，想知道从 Controller 入口到 `Runtime.exec` 有没有可达路径。

1.  在 chains 面板里配置好 Source（Spring Controller）和 Sink（Runtime.exec）
    
2.  设好最大深度（建议 10 左右）
    
3.  勾选"污点分析验证"
    
4.  点"分析"

工具会列出所有可达路径，右侧显示污点分析的详细过程——参数是怎么从第一个方法一路传到最后的 exec 调用的。

### 场景三：排查信息泄露

用信息泄露检查功能，一键扫描 JAR 包中硬编码的 AK/SK、数据库密码、API Key、JWT 密钥等。支持 Base64 编码检测，结果按类型分类展示。

![信息泄露检查功能](/media/202604/b7757205c43c429fb6841c98a8b01d7f7680.png)

信息泄露检查功能

### 场景四：接入 AI 工作流

5.10 版本之后，Jar Analyzer 支持 MCP（Model Context Protocol）。你可以把它接到 Claude、Cursor 这些 AI 工具里，让 AI 直接调用 Jar Analyzer 的分析能力。

另外也支持 n8n 工作流平台，把 JAR 分析集成到 CI/CD 流水线里，实现自动化的安全扫描。

MCP 文档：https://github.com/jar-analyzer/jar-analyzer/blob/master/mcp-doc/README.md

项目地址：https://github.com/jar-analyzer/jar-analyzer

官方文档：https://docs.qq.com/doc/DV3pKbG9GS0pJS0tk

Java审计的瑞士军刀