JP5374348B2 - ソフトウェア検査装置及びプログラム - Google Patents
ソフトウェア検査装置及びプログラム Download PDFInfo
- Publication number
- JP5374348B2 JP5374348B2 JP2009280571A JP2009280571A JP5374348B2 JP 5374348 B2 JP5374348 B2 JP 5374348B2 JP 2009280571 A JP2009280571 A JP 2009280571A JP 2009280571 A JP2009280571 A JP 2009280571A JP 5374348 B2 JP5374348 B2 JP 5374348B2
- Authority
- JP
- Japan
- Prior art keywords
- software
- call
- return
- layer
- point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、ソフトウェア検査装置及びプログラムに関する。
宇宙機器、航空システム、車載システムなどの様々な制御ソフトウェアは、近年、高度の信頼性が要求され、ソフトウェアの大規模化・複雑化が顕著に進んでいる。そして、ソフトウェアの大規模化・複雑化に伴って、バグが残留する可能性が高まっている。
これに対して、実行時にセキュリティチェックを行うように、言語処理によってチェック処理を追加する方法が提案されている(特許文献1参照)。特許文献1の技術は、入力プログラム中の関数ポインタ変数を検出し、関数ポインタが指すことが可能な関数のリストを作成し、関数ポインタ変数を用いた関数呼出しの直前に、当該関数リストを使用して、関数ポインタ変数の値が不正な値でないか調べる。
しかし、特許文献1の技術は、実行時に関数リストと比較するために、呼び出す可能性のある関数の個数が多くなると、比較のためのオーバーヘッドが顕著になる問題が生じてしまう(時間的オーバーヘッドの増加)。また、呼び出す可能性のある関数の個数が多くなると、関数リストを保存しておくための領域も大きくなる問題もある(空間的オーバーヘッドの増加)。
さらに、残留するバグの1つとして、ソフトウェア内部に存在する、間接アドレッシング(関数ポインタ)を用いた非信頼ドメインからの不適切な関数コール、又は、非信頼ドメインからの不適切な関数リターンによって、設計者の意図しない命令列を実行してしまうことが挙げられる一方で、特許文献1の技術はこれを実行時に防止できない。
本発明は、上述した課題を解決するために提案されたものであり、時間的・空間的オーバーヘッドを抑制しつつ、ドメイン間の実行制限を考慮して、非信頼ドメインからの関数コール時と関数リターン時のアドレスチェックを効率よく行うことができるソフトウェア検査装置及びプログラムを提供することを目的とする。
本発明に係るソフトウェア検査装置は、非信頼ドメインである第1レイヤ及び信頼ドメインである第2レイヤを含むソフトウェアに対して、前記第1レイヤから第2レイヤへの関数のコール先がコードセグメント内であるか否か、前記関数のコール先アドレスの所定バイト前のコールポイントIDに基づいて前記関数のコール許可があるか否か、を判定するためのチェックコードを、前記第1のレイヤの前記関数をコールする前の箇所に挿入するチェックコード挿入手段と、前記ソフトウェアを構成するレイヤ間で関数をコールすることができるか否かを示すデータに基づいて、前記ソフトウェアを構成する各レイヤから前記第2レイヤへ関数をコールすることができるか否かを示すビット列を含むコールポイントIDを決定するコールポイントID決定手段と、前記コールポイントID決定手段により決定されたコールポイントIDを前記第2レイヤの前記関数開始の所定バイト前に挿入するコールポイントID挿入手段と、前記チェックコード挿入手段により前記チェックコードが挿入された前記第1レイヤと、前記コールポイントID挿入手段により前記コールポイントIDが挿入された前記第2レイヤと、を含む前記ソフトウェアをコンパイルするコンパイル手段と、を備えている。
本発明に係るソフトウェア検査装置は、非信頼ドメインである第1レイヤ及び信頼ドメインである第2レイヤを含むソフトウェアに対して、前記第1レイヤから第2レイヤへの関数のリターン先がコードセグメント内であるか否か、前記関数のリターン先アドレスの所定バイト後のリターンポイントIDに基づいて前記関数のリターン許可があるか否か、を判定するためのチェックコードを、前記第1のレイヤの前記関数をリターンする前の箇所に挿入するチェックコード挿入手段と、前記ソフトウェアを構成するレイヤ間で関数をリターンすることができるか否かを示すデータに基づいて、前記第2レイヤから前記ソフトウェアを構成する各レイヤへ関数をリターンすることができるか否かを示すビット列を含むリターンポイントIDを決定するリターンポイントID決定手段と、前記リターンポイントID決定手段により決定されたリターンポイントIDを前記第1レイヤの前記関数コールの所定バイト後に挿入するリターンポイントID挿入手段と、前記チェックコード挿入手段により前記チェックコードが挿入された前記第1レイヤと、前記リターンポイントID挿入手段により前記リターンポイントIDが挿入された前記第2レイヤと、を含む前記ソフトウェアをコンパイルするコンパイル手段と、を備えている。
本発明に係るソフトウェア検査装置及びプログラムは、ドメイン間の実行制限を考慮しつつ、非信頼ドメインからの関数コール時と関数リターン時のアドレスチェックを効率よく行うことができる。
以下、本発明の好ましい実施の形態について図面を参照しながら詳細に説明する。
[ソフトウェア検査装置の構成]
図1は、本発明の実施形態に係るソフトウェア検査装置10の構成を示すブロック図である。ソフトウェア検査装置10は、検査対象であるソフトウェア(オリジナルソースコード)をコンパイルし、コンパイルされたコードを検査しながら実行する。
図1は、本発明の実施形態に係るソフトウェア検査装置10の構成を示すブロック図である。ソフトウェア検査装置10は、検査対象であるソフトウェア(オリジナルソースコード)をコンパイルし、コンパイルされたコードを検査しながら実行する。
ソフトウェア検査装置10は、データが入力又は出力されるデータ入出力部11と、ソフトウェアを検査するための演算処理を行う演算処理部12と、入力されたデータを記憶するデータ記憶部13と、データのワークエリアであるランダムアクセスメモリ(RAM)14と、演算処理部12の制御プログラムが記憶されたリードオンリーメモリ(ROM)15と、ソフトウェアの検査結果を出力する検査結果出力部16と、を備えている。
なお、データ記憶部13には、データ入出力部11を介して入力された、オリジナルソースコード、コールリターン許可表のデータが記憶される。また、検査結果出力部16は、ソフトウェアを検査した結果、エラー(セグメント違反、不正なリターンなど)が見つけられた場合に、そのエラー内容を画像または音声により出力する。
図2は、検査対象であるソフトウェアの各レイヤの一例を示す図である。このソフトウェアは、信頼ドメインである複数のレイヤ(例えばオペレーティング・システム(OS))と、非信頼ドメインであるレイヤと、で構成されている。
信頼ドメインのレイヤとしては、RTOS(リアルタイム・オペレーティング・システム)、COM、Lib(ライブラリ)が該当する。非信頼ドメインのレイヤとしては、SW−C(ソフトウェア・コンポーネント)が該当する。
本実施形態では、コール/リターンについて次のようなレイヤ間実行ポリシー(レイヤ間の実行制限)が存在する。
1.SW−Cは、SW−C又はLibへのみコール可能である。
(SW−Cは、SW−C又はLibからのみリターン可能である。)
(SW−Cは、SW−C又はLibからのみリターン可能である。)
2.SW−Cは、SW−C又はRTOSからのみコール可能である。
(SW−Cは、SW−C又はRTOSへのみリターン可能である。)
(SW−Cは、SW−C又はRTOSへのみリターン可能である。)
3.上記以外の組合せは、すべてコール/リターン可能である。
図3は、ソフトウェア検査装置10による検査内容の概要を示す図である。予め、オペレータは、ソフトウェアの各レイヤが信頼ドメインであるか非信頼ドメインであるかを示すソフトウェアレイヤ表と、レイヤ間のコール/リターンが可能か否かを示すレイヤ間実行ポリシーと、に基づいて、コールリターン許可表を作成する。
ここで、ソフトウェアレイヤ表は、検査対象のソフトウェアを構成する全レイヤについて、例えば、レイヤ1は信頼ドメイン、レイヤ2は非信頼ドメイン、・・・、レイヤkは信頼ドメイン、であることを示している。レイヤ間実行ポリシーは、検査対象のソフトウェアを構成する各レイヤについて、例えば、レイヤ1はレイヤ1またはレイヤ2へのみコール可能(レイヤ1はレイヤ1またはレイヤ2からのみリターン可能)、レイヤ2は・・・、であることを示している。
このように、コールリターン許可表は、レイヤ間のコール/リターンの実行制限を記述したものであり、1行目のCallerはコールする側であり、一番左側の列のCalleeはコールされる(リターンさせる)側である。
次に、ソフトウェア検査装置10は、このコールリターン許可表のデータを用いてオリジナルソースコードのコンパイルを実行し、制御フロー保護コードであるオブジェクトを生成する。コンパイルの実行中では、ソフトウェア検査装置10は、コール部分とリターン部分のそれぞれに所定の条件をチェックするためのコードを挿入し、ラベルを決定し、決定したラベルをバイナリへ埋め込む。
なお、ラベルとは、コールポイントID及びリターンポイントIDの総称である。コールポイントIDは、コール許可ビット(xビット)、コールポイントビット(yビット)で構成されている。リターンポイントIDは、リターン許可ビット(aビット)、リターンポイントビット(bビット)で構成されている。
最後に、ソフトウェア検査装置10は、コール/リターンの実行制限をチェックしながら制御フロー保護コードに基づいてソフトウェアを実行する。なお、本実施形態では、次のようなコールリターン許可表が使用される。
図4は、本実施形態に係るコールリターン許可表を示す図である。コールリターン許可表は、どのレイヤからどのレイヤへのコール/リターンが可能か不可能かを示している。
例えば、左から3列目の「Lib/0/1/1/1」によると、CallerがLibの場合、Libは、SW−Cへのコール(及びSW−Cからのリターン)が不可能であるが、Lib、COM、RTOSへのコール(及びLib、COM、RTOSからのリターン)が可能である。また、上から3行目の「Lib/1/1/1/1」によると、CalleeがLibの場合、Libはすべてのレイヤからのリターンが可能(及びすべてのレイヤはLibへコールが可能)である。
そして、コールリターン許可表のデータは、ソフトウェア検査装置10に入力され、コンパイル実行時に使用される。また、コンパイル実行時では、図4に示すコールリターン許可表に基づいて次のように構成されたラベルが決定される。
図5は、本実施形態のラベルの構成を示す図である。ラベルの1つであるコールポイントID(32ビット)は、コール許可ビット(x=4ビット)、コールポイントビット(y=28ビット)で構成されている。ラベルの残りの1つであるリターンポイントID(32ビット)は、リターン許可ビット(a=4ビット)、リターンポイントビット(b=28ビット)で構成されている。
コール許可ビット及びリターン許可ビットは、コールリターン許可表に基づいて決定される。コールポイントビット及びリターンポイントビットは、ROM15のコード領域で使用されていないビット列であり、コンパイル時に静的に決定される。
以上のように構成されたソフトウェア検査装置10では、次に示すコンパイル実行ルーチンが実行される。
[ソフトウェアのコール部分のコンパイル]
図6から図8は、コール部分のコンパイル実行ルーチンを示すフローチャートである。以下の各ルーチンでは、図4に示すコールリターン許可表、図5に示すラベルが使用される。また、コードセグメントは、ROM15の領域にあり、プログラム自身で書き換えできないものとする。よって、本ルーチン実行時に埋め込まれたコールポイントID及びリターンポイントIDは不変である。
図6から図8は、コール部分のコンパイル実行ルーチンを示すフローチャートである。以下の各ルーチンでは、図4に示すコールリターン許可表、図5に示すラベルが使用される。また、コードセグメントは、ROM15の領域にあり、プログラム自身で書き換えできないものとする。よって、本ルーチン実行時に埋め込まれたコールポイントID及びリターンポイントIDは不変である。
また、本ルーチンでは、SW−C(非信頼ドメイン)からLib(信頼ドメイン)のコールを例に挙げて説明する。なお、図9は、コンパイル実行ルーチンによって変換されるSW−Cを示す図である。図10は、コンパイル実行ルーチンによって変換されるLibを示す図である。
図6に示すステップS1では、演算処理部12は、コールリターン許可表の行のビット数を“n”に設定する。本実施形態ではn=4に設定する。
ステップS2では、演算処理部12は、コードセグメントで使用されていないビット列を用いて、命令ビット数からnを除いたビット数でコールポイントビットをランダムに決定し、この決定したものを“CPB”に設定する。本実施形態では、命令ビット数は図5に示すように32であるので、命令ビット数32からn(=4)を除いた28ビットのCPBが設定される。
ステップS3では、演算処理部12は、ランタイムチェック(チェックコード)を挿入しようとしている非信頼ドメインのレイヤを“L”に設定する。本実施形態では、非信頼ドメインであるSW−Cが“L”に設定される。
ステップS4では、演算処理部12は、図4に示すコールリターン許可表より“L”がMSB(最上位ビット)から何行目を示すかを“b”に設定する。
ステップS5では、演算処理部12は、命令ビット数32のうちbビット目のみを1にして残りを0としたビット列を“maskBit1”に設定する。本実施形態では、“maskBit1”に、例えば0x80000000が設定される。
ステップS6では、演算処理部12は、上位nビットを0にしてその他を1にしたビット列を“maskBit2”に設定する。本実施形態では、“maskBit2”に、例えば0x0fffffffが設定される。
ステップS7では、演算処理部12は、コードセグメントの開始アドレスをST_CODESEGに設定し、続くステップS8では、コードセグメントの終了アドレスをED_CODESEGに設定する。
図7に示すステップS9では、演算処理部12は、Lに属するコードの構文解析を行い、構文の全体集合をGに設定する。本実施形態では、非信頼ドメインのレイヤであるSW−Cに属するコードの構文解析が行われる。
ステップS10では、演算処理部12は、構文の全体集合Gが存在する(Gが空集合φではない)かを判定する。そして、Gが存在する場合はステップS11へ進み、Gが存在しない場合はステップS15へ進む。
ステップS11では、演算処理部12は、Gから構文を1つ取り出してgに設定し、続くステップS12では、gが関数ポインタを使用しているかを判定する。例えば、データ記憶部13には多くの関数ポインタが記憶され、演算処理部12は、これらの関数ポインタを参照して、gが関数ポインタを使用しているかを判定すればよい。gが関数ポインタを使用している場合はステップS13へ進み、使用していない場合はステップS10へ戻る。
ステップS13では、演算処理部12は、gで使用している関数ポインタの変数名をfptrNameに設定し、図9(A)の(*fptrName)()の部分を以下のものに置換する(ステップS14)。
すなわち、演算処理部12は、関数をコールする前(図9(A)の下から2行目の“(*fptrName)();”の前)の部分に、2つのif文を含むチェックコードを挿入している。
一方、図7に示すステップS15では、演算処理部12は、検査対象のソフトウェアのすべての非信頼ドメインのレイヤに対してステップS10〜S14を実行したかを判定する。肯定判定の場合は図8に示すステップS16へ進み、否定判定の場合は図6に示すステップS3へ戻る。
図8に示すステップS16では、演算処理部12は、非信頼ドメインのレイヤに対して、コードをコンパイルしバイナリを生成する。
ステップS17では、演算処理部12は、図4に示すコールリターン許可表のb行目を上位n(=4)ビットとしたコール許可ビットと、残りの28ビットをCPBとしたビット列とを用いて、図5に示すように、コールポイントIDを決定する。
ステップS18では、演算処理部12は、信頼ドメインのレイヤに対して、コードをコンパイルしバイナリを生成する。ここで、バイナリ生成時には、演算処理部12は、信頼ドメインの関数の先頭に、ステップS17で決定されたコールポイントIDを挿入する。
ステップS19では、演算処理部12は、コードセグメント全体で関数の先頭以外にCPBのビット列が使われていないかを判定する。CPBのビット列が使われていない場合は本ルーチンを終了し、使われている場合はステップS20へ進む。
ステップS20では、演算処理部12は、コードセグメント全体で使われていないビット列をCPBに設定して、図6に示すステップS3に戻る。
この結果、図9(A)に示すSW−Cは、ステップS13において、図9(B)に示すように、#1及び#2のコードが挿入される。ここで、#1は、関数ポインタがコードセグメント内にあるかを判定し、ない場合はセグメント違反に対するルーチン(segViolation())へ移行することを示している。また、#2は、コール許可ビットがコール許可を示し、かつ、コールポイントビットと等しいか、を判定し、これらの条件を満たさない場合は、不正なリターンに対処するエラールーチン(errorHook())へ移行することを示している。#3は、#1及び#2を満たす場合は、間接コールが実行されることを示している。そして、図9(B)がコンパイルされると、図9(C)に示す制御フロー保護コードが生成される。
また、図10(A)に示すLibがコンパイルされると、図10(B)に示すように、libFunc1、libFunc2のそれぞれの関数の先頭にコールポイントID“f1 fb 3a 2c”が挿入される。
ここで、図10(A)及び(B)に示すLibはコールされる側であるので、ステップS17において、図4に示すコールリターン許可表の3行目(Calleeがlibの場合)の“1111”がコールポイントIDの上位4ビットとして選択される。“1111”は16進数で“f”であるので、図10(B)に示すコールポイントIDの先頭は“f”となる。コールポイントIDの残りの“1 fb 3a 2c”はコールポイントビットである。
[ソフトウェアのリターン部分のコンパイル]
図11〜図13は、リターン部分のコンパイル実行ルーチンを示すフローチャートである。
図11〜図13は、リターン部分のコンパイル実行ルーチンを示すフローチャートである。
本ルーチンでは、SW−C(非信頼ドメイン)からRTOS(信頼ドメイン)へのリターンを例に挙げて説明する。なお、図14は、コンパイル実行ルーチンによって変換されるSW−Cを示す図である。図15は、コンパイル実行ルーチンによって変換されるRTOSを示す図である。
図11に示すステップS31では、演算処理部12は、コールリターン許可表の行のビット数を“n”に設定する。本実施形態ではn=4に設定する。
ステップS32では、演算処理部12は、コードセグメントで使用されていないビット列を用いて、命令ビット数からnを除いたビット数でリターンポイントビットをランダムに決定し、この決定したものを“RPB”に設定する。本実施形態では、命令ビット数32からn(=4)を除いた28ビットのRPBが設定される。そして、ステップS33〜S39は、ステップS3〜S9と同様に実行され、図12に示すステップS40へ進む。
ステップS40では、演算処理部12は、構文の全体集合Gが存在する(Gが空集合φではない)かを判定する。そして、Gが存在する場合はステップS41へ進み、Gが存在しない場合はステップS47へ進む。
ステップS41では、演算処理部12は、Gから構文を1つ取り出してgに設定し、続くステップS42では、gが関数の先頭を表しているかを判定する。gが関数の先頭を表している場合はステップS43へ進み、それを表していない場合はステップS40へ戻る。
ステップS43では、演算処理部12は、関数の先頭で、変数int dummyNumの宣言を挿入し、ステップS44では、構文の全体集合Gから構文を1つ取り出してgに設定する。
ステップS45では、演算処理部12は、gが関数の最後を表しているかを判定する。gが関数の最後を表している場合はステップS46へ進み、それを表していない場合はステップS44へ戻る。
ステップS46では、演算処理部12は、関数の最後に以下のコードを挿入する。
すなわち、演算処理部12は、関数をリターンする前(図14(A)の“}”の直前)の部分に、2つのif文を含むチェックコードを挿入している。
ステップS47では、演算処理部12は、すべての非信頼ドメインのレイヤに対してステップS40〜S46を実行したかを判定する。肯定判定の場合は図13に示すステップS48へ進み、否定判定の場合は図11に示すステップS33へ戻る。
ステップS48では、演算処理部12は、非信頼ドメインのレイヤに対して、コードをコンパイルしバイナリを生成する。
ステップS49では、演算処理部12は、図4に示すコールリターン許可表のb行目を上位n(=4)ビットとしたリターン許可ビットと、残りの28ビットをRPBとしたビット列とを用いて、リターンポイントIDを決定する。
ステップS50では、演算処理部12は、信頼ドメインのレイヤに対して、コードをコンパイルしバイナリを生成する。ここで、バイナリ生成時には、演算処理部12は、信頼ドメインの関数コールの直後にリターンポイントIDを挿入する。
ステップS51では、演算処理部12は、コードセグメント全体で関数の先頭以外にRPBのビット列が使われていないかを判定する。RPBのビット列が使われていない場合は本ルーチンを終了し、それが使われている場合はステップS52へ進む。
ステップS52では、演算処理部12は、コードセグメント全体で使われていないビット列をRPBに設定して、図11に示すステップS33に戻る。
この結果、図14(A)に示すSW−Cは、ステップS46において、図14(B)に示すように、#4及び#5のコードが挿入される。ここで、#4は、リターンアドレス(ステップS43で最初に挿入したダミー変数を使用)がコードセグメント内にあるかを判定し、ない場合はセグメント違反に対するルーチンへ移行することを示している。また、#5は、リターン許可ビットがリターン許可を示し、かつ、リターンポイントビットと等しいか、を判定し、これらの条件を満たさない場合は、不正なリターンに対処するエラールーチンへ移行することを示している。#6は、リターンアドレスをインクリメントしてコードを指すようにすることを示している。そして、図14(B)がコンパイルされると、図14(C)に示す制御フロー保護コードが生成される。
また、図15(A)に示すRTOSがコンパイルされると、図15(B)に示すように、関数コール(CALL SW_C)の直後に、リターンポイントID“f2 fa 3c bd”が挿入される。
ここで、図15(A)及び(B)に示すRTOSはコールする側であるので、ステップS49において、図4に示すコールリターン許可表の4列目(CallerがRTOSの場合)の“1111”がリターンポイントIDの上位4ビットとして選択される。“1111”は16進数で“f”であるので、図15(B)に示すリターンポイントIDの先頭は“f”となる。リターンポイントIDの残りの“2 fa 3c bd”はリターンポイントビットである。そして、SW−Cのコール直後のスタック内容は図15(C)に示すようになる。
[ソフトウェアのコール部分の実行]
図16は、ソフトウェアのコール部分のソフトウェア実行ルーチンを示すフローチャートである。本ルーチンでは、ステップS1〜S20の処理によってコンパイルされたソフトウェア(図9及び図10)を例に挙げて説明する。
図16は、ソフトウェアのコール部分のソフトウェア実行ルーチンを示すフローチャートである。本ルーチンでは、ステップS1〜S20の処理によってコンパイルされたソフトウェア(図9及び図10)を例に挙げて説明する。
ステップS61では、演算処理部12は、コンパイルされたソフトウェアのチェックコードに基づいて、関数ポインタ(fptr)がコードセグメント内(セグメント開始アドレスからセグメント終了アドレスの間)を指しているかを判定する。
ここでは、例えば、図9(B)の#1のチェックコードに基づいて、[fptr<コードセグメント開始アドレス]を満たすか否か、[fptr>コードセグメント終了アドレス]を満たすか否かが判定される。いずれも満たさない場合に、関数ポインタがコードセグメント内を指していると判定される。
そして、関数ポインタがコードセグメント内を指している場合はステップS62へ進み、それを指していない場合はステップS68へ進む。
ステップS62では、演算処理部12は、関数ポインタから1を引いた値(fptr−1)について間接参照した値をコールポイントID(callPointId)に設定する(callPointId←fptr−1)。そして、ステップS63へ進む。
ステップS63では、演算処理部12は、コールポイントIDの上位xビットをコール許可ビット(callAllowingBit)に設定する。なお、本実施形態ではx=4とし、(callAllowingBit←callPointIdの上位4ビット)となる。そして、ステップS64へ進む。
ステップS64では、演算処理部12は、コール許可ビットに基づいて当該ドメインのレイヤについてコール許可があるかを判定する。
ここでは、例えばコール許可ビット(callAllowingBit)の最上位ビットを取り出してビットが立っていないかが判定される。その最上位ビットが立っている場合、当該ドメインのコール許可があることを示すので、ステップS65へ進む。SW−Cからのコール許可の有無はコールリターン許可表から分かるので、コールリターン許可表から求められたcallAllowingBitの最上位ビットをみればコール許可の有無が分かる。一方、その最上位ビットが立っていない場合、当該ドメインのコール許可がないことを示すので、ステップS69へ進む。
ステップS65では、演算処理部12は、コールポイントIDの下位yビットをコールポイントビットに設定する。なお、本実施形態ではy=28であり、(callPointBit←callPointIdの下位28ビット)となる。そして、ステップS66へ進む。
ステップS66では、演算処理部12は、コールポイントビットとコンパイラ(コンパイル実行ルーチン)が定めたビット列であるCPBが等しい(callPointBit=CPB)かを判定する。そして、それらが等しい場合はステップS67へ進み、等しくない場合はステップS69へ進む。
ステップS67では、演算処理部12は、関数ポインタの値を正当であるとみなし、間接コール(*fptr)()を実行する。そして、本ルーチンが終了する。
なお、ステップS61の否定判定の場合はステップS68へ進み、演算処理部12は、セグメント違反に対処するエラールーチンsegViolation()へ移行する。このエラールーチンは特に限定されるものではないが、例えば、検査結果出力部16が、セグメント違反であることを示すエラーメッセージを音声または画像で出力する。そして、本ルーチンが終了する。
また、ステップS64の否定判定の場合又はステップS66の否定判定の場合はステップS69へ進み、演算処理部12は、不正なコールに対処するエラールーチンerrorHook()へ移行する(ステップS69)。このエラールーチンは特に限定されるものではないが、例えば、検査結果出力部16が、不正なコールであることを示すエラーメッセージを音声または画像で出力する。そして、本ルーチンが終了する。
以上のように、ソフトウェア検査装置10は、関数のコール先がコードセグメントで、コール許可があり、かつ関数のコールポイント(本実施形態では関数の先頭)であれば、正当なコールとみなして当該関数をコールする。また、ソフトウェア検査装置10は、上記のいずれか1つの条件を満たさない場合は、不正なコールとみなしてエラーを発行する。
[ソフトウェアのリターン部分の実行]
図17は、ソフトウェアのリターン部分のソフトウェア実行ルーチンを示すフローチャートである。ここでは、ステップS31〜S52の処理によってコンパイルされたソフトウェア(図14及び図15)が実行される。
図17は、ソフトウェアのリターン部分のソフトウェア実行ルーチンを示すフローチャートである。ここでは、ステップS31〜S52の処理によってコンパイルされたソフトウェア(図14及び図15)が実行される。
ステップS71では、演算処理部12は、コンパイルされたソフトウェアのチェックコードに基づいて、リターンアドレス(retAdr)がコードセグメント内を指しているかを判定する。
ここでは、最初に、コード変換(コンパイル)時において関数の最初に挿入したダミー変数(dummyNum)が使用されて、リターンアドレス(retAdr)が求められる。具体的には、ダミー変数のアドレスに1を加えて間接参照した値がリターンアドレスに設定される(retAdr←dummyNumのアドレス+1を間接参照した値)。
次に、図14(B)の#4のチェックコードに基づいて、[retAdr<コードセグメント開始アドレス]を満たすか否か、[retAdr>コードセグメント終了アドレス]を満たすか否か、が判定される。いずれも満たさない場合に、関数ポインタがコードセグメント内を指していると判定される。
そして、リターンアドレスがコードセグメント内を指している場合はステップS72へ進み、それを指していない場合はステップS79へ進む。
ステップS72では、演算処理部12は、リターンアドレスの間接参照した値をリターンポイントID(retPointId)に設定する(retPointId←retAdrの間接参照)。そして、ステップS73へ進む。
ステップS73では、演算処理部12は、リターンポイントIDの上位aビットをリターン許可ビット(retAllowingBit)に設定する。なお、本実施形態ではa=4とし、(retAllowingBit←retPointIdの上位4ビット)となる。そして、ステップS74へ進む。
ステップS74では、演算処理部12は、リターン許可ビットに当該ドメインのリターン許可があるかを判定する。
ここでは例えば、retAllowingBitの最上位ビットを取り出してビットが立っていないかが判定される。その最上位ビットが立っている場合、当該ドメインのリターン許可があることを示すので、ステップS75へ進む。SW−CからRTOSへのリターン許可の有無はコールリターン許可表から分かるので、コールリターン許可表から求められたretAllowingBitの最上位ビットをみればリターン許可の有無が分かる。一方、その最上位ビットが立っていない場合、当該ドメインのリターン許可がないことを示すので、ステップS80へ進む。
ステップS75では、演算処理部12は、リターンポイントIDの下位bビットをリターンポイントビットに設定する。なお、本実施形態ではb=28であり、(retPointBit←retPointIdの下位28ビット)となる。そして、ステップS76へ進む。
ステップS76では、演算処理部12は、リターンポイントビットとコンパイラ(コンパイル実行ルーチン)が定めたビット列が等しい(retPointBit=RPB)かを判定する。そして、それらが等しい場合はステップS77へ進み、等しくない場合はステップS80へ進む。
ステップS77では、演算処理部12は、ステップS71で説明したリターンアドレス(retAdr)をインクリメントして、リターン先のコードを指すように修正する。そして、ステップS78に進む。
なお、ステップS77の実行前では、リターンアドレスがリターンポイントIDの領域を指している。そこで、ステップS77において、スタックに格納されているリターンアドレスをインクリメントすることで、リターンアドレスが、リターンした後に実行すべきコードを指すようにしている。
ステップS78では、演算処理部12は、リターンを実行する(ステップS78)。そして、本ルーチンが終了する。
なお、ステップS71の否定判定の場合はステップS79に進み、演算処理部12は、セグメント違反に対処するエラールーチンsegViolation()へ移行する。そして、このエラールーチンが実行されて、本ルーチンが終了する。
また、ステップS74の否定判定の場合又はステップS76の否定判定の場合はステップS80へ進み、演算処理部12は、不正なリターンに対処するエラールーチンerrorHook()へ移行する。そして、このエラールーチンが実行されて、本ルーチンが終了する。
以上のように、ソフトウェア検査装置10は、関数のリターン先がコードセグメントで、リターン許可があり、かつ関数のリターンポイント(本実施形態ではコールの直後)であれば、正当なリターンとみなし、リターン先のアドレスをインクリメントしてコードを指すようにした後にリターンする。また、ソフトウェア検査装置10は、上記のいずれか1つの条件を満たさない場合は、不正なリターンとみなしてエラーを発行する。
この結果、ソフトウェア検査装置10は、コール時/リターン時におけるソフトウェアのレイヤ間の実行制限を考慮して、設計者の意図する範囲内で、コール/リターンを実行することができる。
また、ソフトウェア検査装置10は、リターンアドレスの待避領域に意図しない書き込みができて破壊されるのを防止することで、アドレスチェックの妥当性を保証することができる。
さらに、ソフトウェア検査装置10は、コール可能な関数の個数が増加し、またはコールのネストが深くなっても、コール時及びリターン時のアドレスチェックにおける時間的・空間的オーバーヘッドを抑制することができる。
なお、本発明は、上述した実施の形態に限定されるものではなく、特許請求の範囲に記載された範囲内で設計上の変更をされたものにも適用可能であるのは勿論である。
11 構文解析部
12 演算処理部
13 データ記憶部
14 RAM
15 ROM
16 検査結果出力部
12 演算処理部
13 データ記憶部
14 RAM
15 ROM
16 検査結果出力部
Claims (9)
- 非信頼ドメインである第1レイヤ及び信頼ドメインである第2レイヤを含むソフトウェアに対して、前記第1レイヤから第2レイヤへの関数のコール先がコードセグメント内であるか否か、前記関数のコール先アドレスの所定バイト前のコールポイントIDに基づいて前記関数のコール許可があるか否か、を判定するためのチェックコードを、前記第1のレイヤの前記関数をコールする前の箇所に挿入するチェックコード挿入手段と、
前記ソフトウェアを構成するレイヤ間で関数をコールすることができるか否かを示すデータに基づいて、前記ソフトウェアを構成する各レイヤから前記第2レイヤへ関数をコールすることができるか否かを示すビット列を含むコールポイントIDを決定するコールポイントID決定手段と、
前記コールポイントID決定手段により決定されたコールポイントIDを前記第2レイヤの前記関数開始の所定バイト前に挿入するコールポイントID挿入手段と、
前記チェックコード挿入手段により前記チェックコードが挿入された前記第1レイヤと、前記コールポイントID挿入手段により前記コールポイントIDが挿入された前記第2レイヤと、を含む前記ソフトウェアをコンパイルするコンパイル手段と、
を備えたソフトウェア検査装置。 - 前記コールポイントID決定手段は、コードセグメントで使用されていないビット列であるコールポイントビットを更に含んだ前記コールポイントIDを決定する
請求項1に記載のソフトウェア検査装置。 - 前記コンパイル手段によりコンパイルされたソフトウェアに含まれる前記チェックコードに基づいて、前記第1レイヤから第2レイヤへの関数のコール先がコードセグメント内であり、かつ、前記関数のコール許可がある場合に、前記ソフトウェアを実行するソフトウェア実行手段を更に備えた
請求項1に記載のソフトウェア検査装置。 - 前記ソフトウェア実行手段は、更に、前記コンパイルされたソフトウェアに含まれる前記チェックコードのコールビットポイントが、前記コールポイントID決定手段により決定されたコールポイントIDのコールビットポイントと同じである場合に、前記ソフトウェアを実行する
請求項3に記載のソフトウェア検査装置。 - 非信頼ドメインである第1レイヤ及び信頼ドメインである第2レイヤを含むソフトウェアに対して、前記第1レイヤから第2レイヤへの関数のリターン先がコードセグメント内であるか否か、前記関数のリターン先アドレスの所定バイト後のリターンポイントIDに基づいて前記関数のリターン許可があるか否か、を判定するためのチェックコードを、前記第1のレイヤの前記関数をリターンする前の箇所に挿入するチェックコード挿入手段と、
前記ソフトウェアを構成するレイヤ間で関数をリターンすることができるか否かを示すデータに基づいて、前記第2レイヤから前記ソフトウェアを構成する各レイヤへ関数をリターンすることができるか否かを示すビット列を含むリターンポイントIDを決定するリターンポイントID決定手段と、
前記リターンポイントID決定手段により決定されたリターンポイントIDを前記第1レイヤの前記関数コールの所定バイト後に挿入するリターンポイントID挿入手段と、
前記チェックコード挿入手段により前記チェックコードが挿入された前記第1レイヤと、前記リターンポイントID挿入手段により前記リターンポイントIDが挿入された前記第2レイヤと、を含む前記ソフトウェアをコンパイルするコンパイル手段と、
を備えたソフトウェア検査装置。 - 前記リターンポイントID決定手段は、コードセグメントで使用されていないビット列であるリターンポイントビットを更に含んだ前記リターンポイントIDを決定する
請求項5に記載のソフトウェア検査装置。 - 前記コンパイル手段によりコンパイルされたソフトウェアに含まれる前記チェックコードに基づいて、前記第1レイヤから第2レイヤへの関数のリターン先がコードセグメント内であり、かつ、前記関数のリターン許可がある場合に、前記ソフトウェアを実行するソフトウェア実行手段を更に備えた
請求項5に記載のソフトウェア検査装置。 - 前記ソフトウェア実行手段は、更に、前記コンパイルされたソフトウェアに含まれる前記チェックコードのリターンビットポイントが、前記リターンポイントID決定手段により決定されたリターンポイントIDのリターンビットポイントと同じである場合に、前記ソフトウェアを実行する
請求項7に記載のソフトウェア検査装置。 - コンピュータを請求項1から請求項8のいずれか1項に記載のソフトウェア検査装置の各手段として機能させるためのソフトウェア検査プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009280571A JP5374348B2 (ja) | 2009-12-10 | 2009-12-10 | ソフトウェア検査装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009280571A JP5374348B2 (ja) | 2009-12-10 | 2009-12-10 | ソフトウェア検査装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011123658A JP2011123658A (ja) | 2011-06-23 |
JP5374348B2 true JP5374348B2 (ja) | 2013-12-25 |
Family
ID=44287495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009280571A Expired - Fee Related JP5374348B2 (ja) | 2009-12-10 | 2009-12-10 | ソフトウェア検査装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5374348B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6435834B2 (ja) * | 2014-12-12 | 2018-12-12 | 富士通株式会社 | 命令実行制御装置、命令実行制御方法 |
JP6885226B2 (ja) | 2017-07-03 | 2021-06-09 | 株式会社デンソー | 電子制御装置 |
US11496506B2 (en) | 2017-07-03 | 2022-11-08 | Denso Corporation | Program generation method and electronic control unit for changing importance of functions based on detected operation state in a vehicle |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6362047A (ja) * | 1986-09-03 | 1988-03-18 | Mitsubishi Electric Corp | プログラムシ−ケンスの異常検知方式 |
JPH0311434A (ja) * | 1989-06-08 | 1991-01-18 | Nec Corp | プログラム異常シーケンス検出方式 |
JPH05173840A (ja) * | 1991-12-20 | 1993-07-13 | Nec Corp | マイクロコンピュータ |
JP2762829B2 (ja) * | 1992-02-06 | 1998-06-04 | 日本電気株式会社 | 電子計算機 |
-
2009
- 2009-12-10 JP JP2009280571A patent/JP5374348B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011123658A (ja) | 2011-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5421370B2 (ja) | コードの難読化のための方法及び装置 | |
Thomas et al. | Using automated fix generation to secure SQL statements | |
US7165237B2 (en) | Data store for arbitrary data types with type safe storage and retrieval | |
CN107632832B (zh) | 一种面向dalvik字节码控制流混淆方法 | |
US20100083379A1 (en) | Information processing device, information processing method, and computer readable recording medium | |
US20110167407A1 (en) | System and method for software data reference obfuscation | |
US20160299831A1 (en) | Target Typing-dependent Combinatorial Code Analysis | |
JP5374348B2 (ja) | ソフトウェア検査装置及びプログラム | |
US20020194579A1 (en) | Code verification system and method | |
JP6133409B2 (ja) | プログラムのリバースエンジニアリング及び/又は改竄に対する保護のための方法、システム及び装置 | |
JP2007304726A (ja) | プログラム難読化装置、難読化方法及び難読化プログラム | |
WO2019227899A1 (zh) | 程序调用解耦 | |
JP2011141676A (ja) | 言語処理装置、言語処理方法およびコンピュータプログラムプロダクト | |
JP3555858B2 (ja) | プログラムの編集方法、シングルパッケージ化システム、プログラム開発システム、プログラムの身元情報付加システム及び記憶媒体 | |
JP2004005441A (ja) | スクリプト処理装置、インタプリタ、スクリプト処理方法、スクリプト処理プログラム、およびスクリプトプログラム | |
CN111796832B (zh) | 热补丁文件生成方法、装置、设备及存储介质 | |
US20230325476A1 (en) | Obfuscation device, obfuscation method, and obfuscation program | |
JP5399601B2 (ja) | 実装コード開発システム、及び実装コード開発プログラム | |
JP6369177B2 (ja) | 開発支援プログラム,開発支援方法及び開発支援装置 | |
JP2005284729A (ja) | バイトコードをネイティブコードにコンパイルする仮想マシン | |
JP2009258796A (ja) | プログラム開発装置及びプログラム開発方法 | |
JP2013025356A (ja) | プログラムの流用検出方法 | |
CN109918872B (zh) | Android应用加固方法 | |
JP2007041777A (ja) | 言語処理方法 | |
KR102432775B1 (ko) | 개인정보보호를 지원하는 스마트 컨트랙트 프로그래밍 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120626 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130827 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130910 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130920 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |