1. 源码到AST从文本到树形结构的蜕变当你用Java或Python写下一行代码时计算机看到的其实只是一堆字符。就像读一本外文书首先要把它翻译成自己能理解的结构。这就是编译器的第一个任务——把源码变成AST抽象语法树。我曾在开发SAST工具时用ANTLR处理过Java的try-with-resources语法。原始代码是这样的try (BufferedReader br new BufferedReader(new FileReader(path))) { return br.readLine(); }经过词法分析后会生成包含这些关键信息的token序列TRY, tryLPAREN, (IDENTIFIER, BufferedReader语法分析阶段就像玩拼图把这些token按语言规则组装。最终生成的AST会剥离大括号、分号等细节保留核心逻辑结构。比如上面代码会形成这样的树形节点TryStatement ├── ResourceSpecification │ └── VariableDeclaration └── BlockAST在线工具AST Explorer能直观展示这个过程。输入1 2 * 3你会看到乘法节点成为加法节点的子节点这正是运算符优先级的体现。这种树形结构比文本更适合机器处理——就像整理凌乱的衣橱时把衣服按类型挂起来比堆在一起更容易管理。2. AST到IR从语言特性到通用语义AST虽然结构清晰但还带着编程语言的口音。比如Java的for循环和Python的for-in在AST上完全不同。为了让不同语言的代码能统一分析需要转换成IR中间表示。我在优化编译器时发现AST到IR的转换就像把方言翻译成普通话。以这个Java代码为例for (int i0; i10; i) { sum i; }会被转换为三地址码形式的IRL0: i 0 L1: if i 10 goto L3 sum sum i i i 1 goto L1 L3:这种转换的关键在于标准化控制流把各种循环结构统一成条件跳转简化表达式拆解复杂表达式为原子操作类型擦除消除语言特有的类型系统特征IR就像乐高积木的通用零件虽然不如AST直观但能拼出任何语言的语义。这也是为什么Clang能用同一套LLVM IR处理C、C和Objective-C。3. IR到CFG可视化执行路径的魔法静态分析工具最需要知道的是代码会怎么执行这就是**CFG控制流图**的用武之地。它把IR指令组织成基本块Basic Block用箭头连接执行路径。举个真实案例当分析下面代码的SQL注入风险时def query(user_input): if user_input.isdigit(): sql SELECT * FROM users WHERE id user_input execute(sql) else: log(invalid input)对应的CFG会明确展示两条路径[ENTRY] │ ├─ [isDigittrue] → [执行SQL] → [EXIT] │ └─ [isDigitfalse] → [记录日志] → [EXIT]构建CFG时有三个关键技术点基本块划分以跳转指令为分界点边类型标记区分条件跳转/无条件跳转不可达代码识别发现dead code用Graphviz生成的CFG图能清晰看到所有可能的执行路线。这对检测漏洞特别有用——比如发现某条路径没有输入验证就直接进入危险函数。4. 全链路实践用Clang跟踪转换过程让我们用实际工具验证整个流程。安装Clang后执行clang -Xclang -ast-dump -fsyntax-only test.c可以看到完整的AST输出。要生成LLVM IR则使用clang -S -emit-llvm test.c -o test.ll最后通过opt工具生成CFG图opt -dot-cfg test.ll dot -Tpng cfg.main.dot cfg.png在这个过程中有几个常见坑点宏展开会在AST生成前完成所以AST里看不到宏定义调试信息可能影响IR的可读性建议编译时加-O1简化CFG中的phi节点φ常让人困惑其实是SSA形式的合并点我在分析Linux内核模块时就曾因为忽略phi节点导致误判了控制流方向。后来用-print-after-all参数逐步跟踪才发现是编译器优化合并了相似分支。