JPWO2019049478A1 - コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム - Google Patents

コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム Download PDF

Info

Publication number
JPWO2019049478A1
JPWO2019049478A1 JP2019540782A JP2019540782A JPWO2019049478A1 JP WO2019049478 A1 JPWO2019049478 A1 JP WO2019049478A1 JP 2019540782 A JP2019540782 A JP 2019540782A JP 2019540782 A JP2019540782 A JP 2019540782A JP WO2019049478 A1 JPWO2019049478 A1 JP WO2019049478A1
Authority
JP
Japan
Prior art keywords
return address
instruction
stack
call stack
call
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019540782A
Other languages
English (en)
Other versions
JP6817454B2 (ja
Inventor
勇人 大月
勇人 大月
裕平 川古谷
裕平 川古谷
誠 岩村
誠 岩村
剛男 針生
剛男 針生
毅 八木
毅 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2019049478A1 publication Critical patent/JPWO2019049478A1/ja
Application granted granted Critical
Publication of JP6817454B2 publication Critical patent/JP6817454B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3612Software analysis for verifying properties of programs by runtime analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3471Address tracing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3017Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/3636Software debugging by tracing the execution of the program
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/366Software debugging using diagnostics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/815Virtual
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/865Monitoring of software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

適用範囲を限定することなく高精度にコールスタックを再現することを目的として、スタックスキャン部(11)は、アプリケーションプロセスのメモリ空間内の、コールスタックの取得対象となるスレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示すメモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する。また、プログラム解析部(12)が、戻りアドレス候補のそれぞれが示す命令の直前の関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析し、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、該戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する。

Description

本発明は、コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラムに関する。
コンピュータとインターネットの普及に伴い、サイバー攻撃もまた高度化・多様化している。特定組織を狙った標的型攻撃では未知のコンピュータウイルス(マルウェア)が用いられることも多く、未然に防ぐことが難しくなっている。そのため、攻撃を受けた後に、原因の特定や被害の最小化等の対応を迅速に行うことが求められている。
こうした対応を行うインシデントレスポンスで行われる手法の1つにメモリフォレンジックスと呼ばれる被害端末のメモリ解析がある。コンピュータは、実行する命令(コード)や使用するデータをメモリ上に保存しながら動作する。そのため、メモリには、動いていたアプリケーションの状態、開かれていたファイル、レジストリ等のリソース、実行していたコードや読み書きしたデータ、通信先や送受信データ等、その瞬間の実行状態(動作状態)が含まれている。したがって、メモリに残ったデータを解析することで、そのときに何が起こっていたか把握することができる。
しかし、既存のメモリフォレンジックス技術では、動作していた個々のアプリケーションが、具体的にどのような動作をしていたか等を知ることは難しい。アプリケーションの動作状態を知る方法として、例えば、プログラムのデバッグ等で利用されているスタックトレースと呼ばれる技術がある。アプリケーションを実行するスレッドは、各々スタックと呼ばれるデータ領域を持ち、関数が呼び出されるたびに呼び出し元を示すアドレス(戻りアドレス)がスタックに積まれる。スタックに積まれた戻りアドレスは、呼び出された関数の処理を終了する際に、呼び出し元関数へ戻るために利用され、破棄される。
スタックトレースは、スタックの構造を解析し、保持されている戻りアドレスを取得していくことで、その時点での関数呼び出しの入れ子状態すなわちコールスタックを明らかにする。したがって、アプリケーションを実行していた各スレッドに対し、メモリダンプからスタックトレースと同等の結果が得られれば、アプリケーションの動作状態の把握が可能になると考えられる。
一般的なスタックトレースは、スタック内に保存されたフレームポインタ(もしくはベースポインタ)を辿ることで戻りアドレスを取得して、コールスタックを再現する。ここで、フレームポインタは、スタックの先頭を示すスタックポインタとは別に、現在実行中の関数が使用するスタック内のデータ領域を示している。一般的な関数は、最初に呼び出し元が使用していたフレームポインタの値をスタックに積み、その位置を自身のフレームポインタとして設定する。
具体的には、スタックには、フレームポインタが示す位置に、呼び出し元の関数が使用していたフレームポインタの値が存在し、その1つ前のエントリに呼び出し元を示す戻りアドレスが格納されている。そのため、現在のフレームポインタの値から、前のフレームポインタの値と戻りアドレスとの取得を繰り返していくことでスタック内の戻りアドレスを取得できる。
このように、一般的なスタックトレースの手法は、各関数がフレームポインタを用いて自らのデータ領域を参照することを利用して実現されている。一方、フレームポインタは関数の実行に不可欠なものではない。コンパイラの最適化によってフレームポインタを使わない実行ファイルが存在する。また、64bit版Windows(登録商標)等のように、実行環境全体としてフレームポインタを使用しないものも存在する。このようにフレームポインタが使われない場合、前述のようにスタック内のフレームポインタを辿って戻りアドレスを取得することができないため、コールスタックを再現できない。
ここで、フレームポインタを使用しない関数呼び出しを含むコールスタックを再現するための技術が知られている。例えば、一般的なデバッガは、対象となるプログラムのデバッグシンボルを活用することでコールスタックを再現できる。また、実行中の動作監視によって、フレームポインタを使用しない関数呼び出しを含むコールスタックを再現できる(非特許文献1参照)。また、スタック内の戻りアドレスをスキャンすることによって、フレームポインタを使用しない関数呼び出しを含むコールスタックを再現できる(非特許文献2,3参照)。
L.Davi,A.R.Sadeghi,M.Winandy,"ROPdefender:A Detection Tool to Defend Against Return-Oriented Programming Attacks",Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security,ASIACCS’11,ACM,pp.40-51,2011 S.M.Hejazi,et al.,"Extraction of Forensically Sensitive Information from Windows Physical Memory",Digital Investigation 6,Supplement,S121-S131,2009 A.R.Arasteh,M.Debbabi,"Forensic Memory Analysis: From Stack and Code to Execution History",Digital Investigation 4,Supplement,S114-S125,2007
しかしながら、従来の技術は、フレームポインタを使用しない関数呼び出しを含むコールスタックを正確に再現できない場合がある。例えば、デバッグシンボルを活用してコールスタックを再現する技術は、デバッグシンボルを取得可能なプログラムに適用範囲が限定されるため、リリースに伴ってシンボルが除去された正規のプログラムや、マルウェア等の悪性プログラムの解析には適用できない。
また、実行中の動作監視によってコールスタックを再現する技術では、実行中の動作を監視する必要があるため、この技術の適用範囲は、監視用プログラムを導入している環境で監視対象とされているプログラムに限定される。
また、スタック内の戻りアドレスをスキャンすることによって、フレームポインタを使用しない関数呼び出しを含むコールスタックを再現する技術では、戻りアドレスではない関数ポインタ等を誤検知するおそれがある。すなわち、この技術では、スタック領域内に含まれる値のうち、実行可能領域内のアドレスであって、関数呼び出し命令(call命令)の直後のアドレスとして解釈できる値を戻りアドレスとして検出する。戻りアドレスではない関数ポインタ等でも上記の条件を満たす場合があるため、戻りアドレスと誤検知する恐れがある。また、過去に戻りアドレスとして使用された値が上書きされずに残っていた場合にも、戻りアドレスとして誤検知される場合がある。
本発明は、上記に鑑みてなされたものであって、適用範囲を限定することなく高精度にコールスタックを再現することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係るコールスタック取得装置は、コンピュータのメモリ、もしくは前記メモリの状態を保存したメモリダンプから、前記コンピュータで動作するアプリケーションプロセスを実行しているスレッドのコールスタックを取得するコールスタック取得装置であって、前記アプリケーションプロセスのメモリ空間内の、前記コールスタックの取得対象となる前記スレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示す前記メモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する抽出部と、前記戻りアドレス候補のそれぞれが示す命令の直前の前記関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析し、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、前記戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する解析部と、を備えることを特徴とする。
本発明によれば、適用範囲を限定することなく高精度にコールスタックを再現することができる。
図1は、コールスタック取得装置の概略構成を例示する模式図である。 図2は、コールスタック取得装置の処理概要を説明するための説明図である。 図3は、コールスタック取得処理手順を例示するフローチャートである。 図4は、コールスタック取得処理手順を例示するフローチャートである。 図5は、コールスタック取得処理手順を例示するフローチャートである。 図6は、コールスタック取得装置の実施例を例示する図である。 図7は、コールスタック取得プログラムを実行するコンピュータを例示する図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[コールスタック取得装置の構成]
図1は、コールスタック取得装置の概略構成を例示する模式図である。コールスタック取得装置10は、コンピュータのメモリ、もしくはメモリの状態を保存したメモリダンプから、そのコンピュータで動作するアプリケーションプロセスを実行しているスレッドのコールスタックを取得する。なお、以下の説明では、x64アーキテクチャのプロセッサで動作するプログラムを対象にしているが、CPU(Central Processing Unit)のアーキテクチャやOS環境等は特に限定されない。
コールスタック取得装置10は、パソコン等の汎用コンピュータで実現され、CPU等を用いて実現される制御部が、メモリに記憶された処理プログラムを実行することにより、図1に示すように、スタックスキャン部11、プログラム解析部12およびポインタ更新部13として機能する。なお、これらの機能部は、異なるハードウェアに実装されてもよい。
スタックスキャン部11は、抽出部として機能する。すなわち、スタックスキャン部11は、アプリケーションプロセスのメモリ空間内の、コールスタックの取得対象となるスレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示すメモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する。
具体的には、スタックスキャン部11は、まず、コールスタックの作成対象のスレッドの動作する仮想メモリ空間を入力として受け付けて、スタック領域を特定する。その際、スタックスキャン部11は、スタックポインタを入力として受け付けて、スタックポインタを用いてスタック領域を特定する。
なお、仮想メモリ空間とは、実行中のコンピュータのライブメモリに限定されず、仮想メモリ空間を再現可能なメモリダンプでもよい。例えば、物理メモリダンプ、仮想メモリダンプ、コンピュータ休止時に作成される状態保存データ、仮想計算機のサスペンドデータ、スナップショット等でもよい。
また、スタックスキャン部11は、スタック領域として、スタックポインタから連続する確保済のメモリ領域の範囲を特定する。なお、スタック領域の特定方法はこれに限定されない。例えば、OS等がコールスタックの範囲を管理している場合には、そのデータ構造からスタック領域を特定してもよい。また、スタックポインタに加えて、スタックの底を示すアドレスのユーザによる指定を受け付けることにより、スタック領域の範囲を特定してもよい。
ここで、図2を参照して、スタックスキャン部11の処理について説明する。図2は、コールスタック取得装置10の処理概要を説明するための説明図である。図2(1)は、スレッドのスタック領域を例示している。また、図2(2)は、スレッドの動作するメモリ空間内の実行可能領域の一部を例示している。
スタックスキャン部11は、図2(1)に例示するように、スタックポインタRSPを用いて特定されたスタック領域をスキャンして、戻りアドレスの候補となる値を抽出する。その際、スタックスキャン部11は、戻りアドレス候補として、図2(2)に例示するcall命令の直後の命令を示す仮想メモリ空間の実行可能領域内のアドレスを示している値を抽出する。図2に示す例では、Pointer1およびPointer2が戻りアドレス候補として抽出されている。
プログラム解析部12は、解析部として機能する。すなわち、プログラム解析部12は、戻りアドレス候補のそれぞれが示す命令の直前の関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析する。また、プログラム解析部12は、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、該戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する。
具体的には、まず、プログラム解析部12は、戻りアドレス候補のうち、スタック領域の先頭を示すスタックポインタRSPに近い順に戻りアドレス候補を1つ選定する。次に、プログラム解析部12は、選定した戻りアドレス候補が示す命令の直前のcall命令によって呼び出される関数について、分岐命令で構築される制御の流れを示す制御フローを解析する。
図2に示す例では、まず、Pointer1が選定され、図2(2)に示すように、Pointer1が示す命令の直前のcall命令によって呼び出されるアドレス領域の関数について、図2(3)に例示するように、分岐命令の分岐元と分岐先との関係をグラフ化した制御フローグラフが作成される。
また、プログラム解析部12は、作成された制御フローグラフを用いて、現在実行中の命令に到達する経路が存在するか否かを検証する。ここで、プログラム解析部12は、現在実行中の命令を示す命令ポインタRIPを入力として受け付けることにより、命令ポインタRIPを用いて現在実行中の命令を特定する。なお、現在実行中の命令とは、コールスタック取得処理前にスレッドが最後に実行していた命令を意味する。命令ポインタによる特定に限定されず、プログラム解析部12は、実行コンテキストを示すデータ構造を用いて現在実行中の命令を特定してもよい。
図2には、Pointer1が示す命令の直前のcall命令によって呼び出される関数の制御フローを解析して検証した結果、現在実行中の命令に到達する経路が存在しないことが示されている。この場合に、プログラム解析部12は、戻りアドレス候補であるPointer1は戻りアドレスではないと判定する。例えば、過去に戻りアドレスとして使用された値が上書きされずに残っていた場合等が想定される。
そして、プログラム解析部12は、次にスタックポインタRSPに近い戻りアドレス候補を選定して上記の処理を繰り返す。図2に示す例では、Pointer2が選定され、上記の処理が繰り返されている。すなわち、図2(2)に示すように、Pointer2が示す命令の直前のcall命令によって呼び出されるアドレス領域の関数について、図2(3)に例示するように制御フローグラフが作成される。
そして、図2(4)には、作成された制御フローグラフを検証した結果、命令ポインタRIPが示す現在実行中の命令に到達する経路が存在することが示されている。これは、戻りアドレス候補が示す命令を含む関数が現在実行中の関数の呼び出し元として成立することを意味する。この場合に、プログラム解析部12は、戻りアドレス候補であるPointer2は戻りアドレスであると判定する。
なお、プログラム解析部12は、実行中のプログラムの全体の制御フローや、制御フローのうち特に関数呼び出しの流れや関係を示すコールフローを解析して、各関数の関係を取得することにより、戻りアドレス候補から適切な戻りアドレスを判定してもよい。
あるいは、プログラム解析部12は、判定した戻りアドレスや抽出された戻りアドレス候補の先に存在する命令の一部もしくは全てに対して、エミュレーション実行や記号的実行(Symbolic execution)の手法を適用してよい。これにより、実行中の関数が終了した状態を再現して、正確に戻りアドレスを判定することができる。
ポインタ更新部13は、更新部として機能する。すなわち、ポインタ更新部13は、プログラム解析部12が戻りアドレス候補を戻りアドレスと判定した場合に、戻りアドレスと判定された戻りアドレス候補が存在する位置の直後をスタック領域の先頭の位置とし、戻りアドレスと判定されたアドレスを現在実行中の命令の位置として、それぞれ更新する。
具体的には、ポインタ更新部13は、プログラム解析部12が戻りアドレス候補を戻りアドレスと判定した場合に、スタックポインタRSPを、戻りアドレスと判定された戻りアドレス候補が存在する位置の直後のスタック領域の位置に更新し、命令ポインタRIPを戻りアドレスと判定されたアドレスの値に更新する。
図2に示す例では、図2(5)に示すようにスタックポインタがRSP’に更新され、命令ポインタRIPの値がPinter2の値に更新される。その後、コールスタック取得装置10では、上記の処理が繰り返される。
これにより、既に確定した戻りアドレスと戻りアドレス候補との間に呼び出し先と呼び出し元との関係が成立する場合に、その戻りアドレス候補が次に取得すべき戻りアドレスと判定される。したがって、スタック領域の先頭を示すスタックポインタRSPに近い順に、戻りアドレスが確定する。この場合に、コールスタック上で連続する戻りアドレス間で呼び出し元と呼び出し先との関係が成立する。
その後、更新されたスタックポインタがコールスタックの底に到達した場合に、コールスタック取得装置10は、これまでに判定された戻りアドレスで構成されるコールスタックを、例えば、ディスプレイや外部の管理装置等に出力する。
[コールスタック取得処理]
次に、図3〜図5を参照して、本実施形態に係るコールスタック取得装置10によるコールスタック取得処理について説明する。図3は、コールスタック取得処理手順を例示するフローチャートである。図3のフローチャートは、例えば、コールスタック取得処理の開始を指示する操作入力をオペレータが行ったタイミングで開始される。
まず、スタックスキャン部11が、スタックポインタRSPを用いて特定されたスタック領域をスキャンして、戻りアドレス候補を抽出する(ステップS1)。次に、プログラム解析部12が、未検証の戻りアドレス候補があるかを確認し(ステップS2)、未検証の戻りアドレス候補がなければ(ステップS2,No)、一連のコールスタック取得処理を終了する。
一方、プログラム解析部12は、未検証の戻りアドレス候補があれば(ステップS2,Yes)、この戻りアドレス候補を検証対象として選択する(ステップS3)。また、プログラム解析部12は、戻りアドレス候補が示す命令の直前のcall命令によって呼び出される関数を取得して(ステップS4)、この関数の制御(コントロール)フローを解析する(ステップS5)。
すなわち、プログラム解析部12は、現在実行中の命令に到達する経路が存在するか否かを検証する(ステップS6)。そして、プログラム解析部12は、現在実行中の命令に到達する経路が存在しない場合に(ステップS7,No)、戻りアドレス候補を戻りアドレスではないと判定し、ステップS2に処理を戻す。一方、プログラム解析部12は、現在実行中の命令に到達する経路が存在する場合に(ステップS7,Yes)、戻りアドレス候補を戻りアドレスであると判定し、ステップS8に処理を進める。
ステップS8の処理では、ポインタ更新部13が、スタックポインタRSPを、戻りアドレスと判定された戻りアドレス候補が存在する位置の直後のスタック領域の位置に更新し、命令ポインタRIPを戻りアドレスと判定されたアドレスの値に更新する。また、ポインタ更新部13は、更新されたスタックポインタがコールスタックの底に到達したか否かを確認し(ステップS9)、到達していない場合に(ステップS9,No)、ステップS1に処理を戻す。すなわち、スタックスキャン部11が、更新後のスタックポインタRSP’を用いてスタック領域を特定してスキャンし、戻りアドレス候補を抽出した後、上記の処理が繰り返される。
一方、ポインタ更新部13は、更新されたスタックポインタがコールスタックの底に到達した場合に(ステップS9,Yes)、一連のコールスタック取得処理を終了する。
図4も、コールスタック取得処理手順を例示するフローチャートである。図3の処理とは、ステップS9の処理のみが異なる。すなわち、ポインタ更新部13は、更新されたスタックポインタがコールスタックの底に到達したか否かを確認し(ステップS9)、到達していない場合に(ステップS9,No)、ステップS2に処理を戻す。
この場合に、更新前のスタックポインタRSPを用いて特定されたスタック領域のスキャン結果の戻りアドレス候補をそのまま用いて、ステップS2以降の処理が繰り返される。したがって、図3の処理と比較して、ステップS1の処理の分だけ処理負荷が軽減される。なお、その他の処理は図3の処理と同様なので、説明を省略する。
図5もまた、コールスタック取得処理手順を例示するフローチャートである。図4の処理とは、処理の順序が異なる。すなわち、スタックスキャン部11が抽出した戻りアドレス候補のそれぞれについて、まず、プログラム解析部12が、戻りアドレス候補が示す命令の直前のcall命令によって呼び出される関数を取得して(ステップS4)、この関数の制御フローを解析する(ステップS5)。その後、それぞれの戻りアドレス候補について、現在実行中の命令に到達する経路が存在するか否かの検証(ステップS6)と、経路が存在する場合(ステップS7,Yes)におけるスタックポインタRSPおよび命令ポインタRIPの更新とが行われる。このように、制御フローの解析と、現在実行中の命令に到達する経路が存在するか否かの検証とを分離して、解析した制御フローの再利用を可能として、処理の効率化を図ることができる。
具体的には、スタックスキャン部11が、スタックポインタRSPを用いて特定されたスタック領域をスキャンして戻りアドレス候補を抽出(ステップS1)した後、プログラム解析部12が、戻りアドレス候補があるかを確認する(ステップS11)。戻りアドレス候補がなければ(ステップS11,No)、プログラム解析部12は、一連のコールスタック取得処理を終了する。
一方、プログラム解析部12は、戻りアドレス候補があれば(ステップS11,Yes)、この戻りアドレス候補を解析対象として選択する(ステップS12)。また、プログラム解析部12は、戻りアドレス候補が示す命令の直前のcall命令によって呼び出される関数を取得して(ステップS4)、この関数の制御(コントロール)フローを解析する(ステップS5)。
その後、プログラム解析部12は、制御フローを未解析の戻りアドレス候補があるかを確認し(ステップS13)、未解析の戻りアドレス候補があれば(ステップS13,Yes)、ステップS12に処理を戻し、制御フローの解析を行う。
一方、プログラム解析部12は、未解析の戻りアドレス候補がない場合に(ステップS13,No)、未検証の戻りアドレス候補があるかを確認する(ステップS2)。そして、プログラム解析部12は、未検証の戻りアドレス候補がなければ(ステップS2,No)、一連のコールスタック取得処理を終了する。
一方、プログラム解析部12は、未検証の戻りアドレス候補があれば(ステップS2,Yes)、ステップS5の制御フローの解析結果を用いて、現在実行中の命令に到達する経路が存在するか否かを検証する(ステップS6)。そして、プログラム解析部12は、図4と同様に、現在実行中の命令に到達する経路が存在しない場合に(ステップS7,No)、戻りアドレス候補を戻りアドレスではないと判定し、ステップS2に処理を戻す。一方、プログラム解析部12は、現在実行中の命令に到達する経路が存在する場合に(ステップS7,Yes)、戻りアドレス候補を戻りアドレスであると判定し、ステップS8に処理を進める。
ステップS8の処理では、図4と同様に、ポインタ更新部13が、スタックポインタRSPを、戻りアドレスと判定された戻りアドレス候補が存在する位置の直後のスタック領域の位置に更新し、命令ポインタRIPを戻りアドレスと判定されたアドレスの値に更新する。また、ポインタ更新部13は、更新されたスタックポインタがコールスタックの底に到達したか否かを確認し(ステップS9)、到達していない場合に(ステップS9,No)、ステップS2に処理を戻し、到達した場合に(ステップS9,Yes)、一連のコールスタック取得処理を終了する。
以上、説明したように、本実施形態のコールスタック取得装置10において、スタックスキャン部11は、アプリケーションプロセスのメモリ空間内の、コールスタックの取得対象となるスレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示すメモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する。また、プログラム解析部12が、戻りアドレス候補のそれぞれが示す命令の直前の関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析し、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、該戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する。
これにより、コールスタック取得装置10は、他の戻りアドレスが示す関数と呼び出し元と呼び出し先との関係が成立しない関数ポインタ等を、戻りアドレスとして誤検出することを回避できる。また、過去に戻りアドレスとして使用された値が上書きされずに残っていた場合にも、戻りアドレスとして誤検出することを回避できる。従って、高精度にコールスタックを再現することが可能となる。
また、コールスタック取得処理の対象は、デバッグシンボルを取得可能なプログラムや、監視用プログラムを導入している環境下の監視対象プログラム等に限定する必要はない。このように、本実施形態のコールスタック取得装置10によれば、適用範囲を限定することなく、高精度にコールスタックを再現することが可能となる。
なお、本実施形態のコールスタック取得装置10は、スタックポインタや命令ポインタを用いる手法に限定されず、スキャンするスタック領域の範囲と、コールスタック取得処理前に最後に実行されていた関数とが特定できればよい。例えば、スタック領域や実行コンテキストを示すデータ構造を用いてもよい。
[実施例]
図6は、コールスタック取得装置10の実施例を例示する図である。例えば、図6(a)に示すように、インシデントレスポンスにコールスタック取得装置10を用いてもよい。この場合、コールスタック取得装置10は、被害PCのメモリダンプを解析し、コールスタックを取得する。そして、フォレンジックアナリスト等が、作成されたコールスタックの内容を見ることで、被害PCの被害状況や対策を検討し、インシデントレスポンスを速やかに行うことができる。
また、図6(b),(c)に示すように、脅威監視サーバによる監視対象PC(エンドポイント)の脅威監視にコールスタック取得装置10を用いてもよい。この場合、図6(b)に示すように、コールスタック取得装置10は、PCのメモリを解析し、コールスタックを取得する。そして、PCの監視ソフトウェアが取得されたコールスタックを分析することで、PCの動作状態を監視することができる。
また、図6(c)に示すように、コールスタック取得装置10は、脅威監視サーバに装備してリモート監視を行う場合にも用いることができる。この場合に、脅威監視サーバは、監視Agentにより監視された監視対象PCのメモリの監視データ(メモリダンプ)を取得すると、コールスタック取得装置10により、メモリダンプを解析し、監視対象PCで動作するアプリケーションのコールスタックを取得する。脅威監視サーバは、取得されたコールスタックを分析することで、監視対象PCの動作状態を監視することができる。
また、図6(d)に示すように、仮想化基盤による仮想計算機(VM)の監視にコールスタック取得装置10を用いてもよい。この場合、コールスタック取得装置10は、仮想化基盤となるコンピュータに装備される。そして、仮想化基盤となるコンピュータは、自身の内部に構築された各VMのメモリを監視し、必要に応じて各VMで動作するアプリケーションのコールスタックを取得する。そして、仮想化基盤となるコンピュータは、各VMのコールスタックを分析することで、各VMの動作状態を監視することができる。
さらに、図6(e)に示すように、アプリケーションプログラムのデバッグ作業にコールスタック取得装置10を用いてもよい。この場合、コールスタック取得装置10は、デバッグ対象のプログラムのメモリやメモリダンプを解析し、コールスタックを取得する。そして、デバッガが取得されたコールスタックを分析することで、デバッグシンボルを持たないプログラムに対しても、詳細な実行監視を必要とせずに効率よくデバッグ作業を行うことができる。
[プログラム]
上記実施形態に係るコールスタック取得装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、コールスタック取得装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記のコールスタック取得処理を実行するコールスタック取得プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のコールスタック取得プログラムを情報処理装置に実行させることにより、情報処理装置をコールスタック取得装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
また、コールスタック取得装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のコールスタック取得処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、コールスタック取得装置10は、仮想メモリ空間、スタックポインタおよび命令ポインタを入力とし、コールスタックを出力するコールスタック取得処理サービスを提供するサーバ装置として実装される。この場合、コールスタック取得装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のコールスタック取得処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、コールスタック取得装置10と同様の機能を実現するコールスタック取得プログラムを実行するコンピュータの一例を説明する。
図7は、コールスタック取得プログラムを実行するコンピュータを例示する図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。
また、コールスタック取得プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明したコールスタック取得装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、コールスタック取得プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、コールスタック取得プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、コールスタック取得プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 コールスタック取得装置
11 スタックスキャン部(抽出部)
12 プログラム解析部(解析部)
13 ポインタ更新部(更新部)

Claims (7)

  1. コンピュータのメモリ、もしくは前記メモリの状態を保存したメモリダンプから、前記コンピュータで動作するアプリケーションプロセスを実行しているスレッドのコールスタックを取得するコールスタック取得装置であって、
    前記アプリケーションプロセスのメモリ空間内の、前記コールスタックの取得対象となる前記スレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示す前記メモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する抽出部と、
    前記戻りアドレス候補のそれぞれが示す命令の直前の前記関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析し、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、前記戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する解析部と、
    を備えることを特徴とするコールスタック取得装置。
  2. 前記抽出部は、スタックポインタを用いて前記スタック領域を特定することを特徴とする請求項1に記載のコールスタック取得装置。
  3. 前記解析部は、命令ポインタを用いて前記現在実行中の命令を特定することを特徴とする請求項1に記載のコールスタック取得装置。
  4. 前記解析部は、前記スタック領域の先頭に近い順に前記戻りアドレス候補を処理対象として選定することを特徴とする請求項1に記載のコールスタック取得装置。
  5. 前記解析部が前記戻りアドレス候補を戻りアドレスと判定した場合に、戻りアドレスと判定された戻りアドレス候補が存在する位置の直後を前記スタック領域の先頭の位置とし、戻りアドレスと判定されたアドレスを前記現在実行中の命令の位置として、それぞれ更新する更新部をさらに備えることを特徴とする請求項1に記載のコールスタック取得装置。
  6. コンピュータのメモリ、もしくは前記メモリの状態を保存したメモリダンプから、前記コンピュータで動作するアプリケーションプロセスを実行しているスレッドのコールスタックを取得するコールスタック取得装置で実行されるコールスタック取得方法であって、
    前記アプリケーションプロセスのメモリ空間内の、前記コールスタックの取得対象となる前記スレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示す前記メモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する抽出工程と、
    前記戻りアドレス候補のそれぞれが示す命令の直前の前記関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析し、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、前記戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する解析工程と、
    を含んだことを特徴とするコールスタック取得方法。
  7. コンピュータのメモリ、もしくは前記メモリの状態を保存したメモリダンプから、前記コンピュータで動作するアプリケーションプロセスを実行しているスレッドのコールスタックを取得するためのコールスタック取得プログラムであって、
    前記アプリケーションプロセスのメモリ空間内の、前記コールスタックの取得対象となる前記スレッドが持つスタック領域から、関数呼び出し命令の直後の命令を示す前記メモリ空間内の実行可能領域内のアドレスである戻りアドレス候補を抽出する抽出ステップと、
    前記戻りアドレス候補のそれぞれが示す命令の直前の前記関数呼び出し命令によって呼び出される関数の内部における分岐命令で構築される制御の流れを示す制御フローを解析し、該制御フローにおいて、現在実行中の命令に到達する経路が存在する場合に、前記戻りアドレス候補を戻りアドレスと判定し、該経路が存在しない場合に戻りアドレスではないと判定する解析ステップと、
    をコンピュータに実行させるためのコールスタック取得プログラム。
JP2019540782A 2017-09-06 2018-06-28 コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム Active JP6817454B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017171393 2017-09-06
JP2017171393 2017-09-06
PCT/JP2018/024533 WO2019049478A1 (ja) 2017-09-06 2018-06-28 コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム

Publications (2)

Publication Number Publication Date
JPWO2019049478A1 true JPWO2019049478A1 (ja) 2020-01-16
JP6817454B2 JP6817454B2 (ja) 2021-01-20

Family

ID=65634797

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019540782A Active JP6817454B2 (ja) 2017-09-06 2018-06-28 コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム

Country Status (3)

Country Link
US (1) US11481307B2 (ja)
JP (1) JP6817454B2 (ja)
WO (1) WO2019049478A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563628B1 (en) 2021-08-23 2023-01-24 Oracle International Corporation Failure detection in cloud-computing systems

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7320125B2 (en) * 2001-05-24 2008-01-15 Techtracker, Inc. Program execution stack signatures
US7178132B2 (en) 2002-10-23 2007-02-13 Microsoft Corporation Forward walking through binary code to determine offsets for stack walking
US20040148594A1 (en) * 2003-01-24 2004-07-29 Stephen Williams Acquiring call-stack information
US8566797B2 (en) * 2008-02-27 2013-10-22 Red Hat, Inc. Heuristic backtracer
US8196116B2 (en) * 2009-03-31 2012-06-05 International Business Systems Corporation Tracing objects in object-oriented programming model
US8732681B2 (en) * 2011-05-16 2014-05-20 Texas Instruments Incorporated Stack analysis for post mortem analysis
US9836343B2 (en) * 2014-03-17 2017-12-05 Microsoft Technology Licensing, Llc Framework for user-mode crash reporting
US10007787B2 (en) * 2015-12-28 2018-06-26 International Business Machines Corporation Runtime return-oriented programming detection
US10169130B2 (en) * 2016-07-19 2019-01-01 International Business Machines Corporation Tailoring diagnostic information in a multithreaded environment

Also Published As

Publication number Publication date
US20200242002A1 (en) 2020-07-30
US11481307B2 (en) 2022-10-25
JP6817454B2 (ja) 2021-01-20
WO2019049478A1 (ja) 2019-03-14

Similar Documents

Publication Publication Date Title
Alazab et al. Towards understanding malware behaviour by the extraction of API calls
US9015814B1 (en) System and methods for detecting harmful files of different formats
Spreitzenbarth et al. Mobile-sandbox: having a deeper look into android applications
Vidas et al. A5: Automated analysis of adversarial android applications
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US10397261B2 (en) Identifying device, identifying method and identifying program
US10339315B2 (en) Apparatus and method for detecting malicious mobile app
US20150067763A1 (en) Hardware and software execution profiling
CN107004088B (zh) 确定装置、确定方法及记录介质
CN109101815B (zh) 一种恶意软件检测方法及相关设备
US9507933B2 (en) Program execution apparatus and program analysis apparatus
JP6734481B2 (ja) コールスタック取得装置、コールスタック取得方法、および、コールスタック取得プログラム
US10237285B2 (en) Method and apparatus for detecting macro viruses
US12039034B2 (en) Undetectable sandbox for malware
US20220138314A1 (en) Automated generation of a sandbox configuration for malware detection
US8935782B2 (en) Malware detection via network information flow theories
Aslan Performance comparison of static malware analysis tools versus antivirus scanners to detect malware
Josse Secure and advanced unpacking using computer emulation
JP6817454B2 (ja) コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム
Gassen et al. HoneyAgent: Detecting malicious Java applets by using dynamic analysis
Fan et al. Obfuscated malicious code detection with path condition analysis
CN112905534B (zh) 一种基于沙箱环境的样本分析方法和装置
US20240214417A1 (en) Analysis device, analysis method, and analysis system
Doan et al. An Empirical Study on Android malware behavior signature extraction
Brunner et al. Awesome-automated web emulation for secure operation of a malware-analysis environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201224

R150 Certificate of patent or registration of utility model

Ref document number: 6817454

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150