WO2005024630A1

WO2005024630A1 - 不正コード実行の防止方法および防止プログラム

Info

Publication number: WO2005024630A1
Application number: PCT/JP2004/012858
Authority: WO
Inventors: Koichiro Shoji; Yoshiyasu Takefuji; Takashi Nozaki
Original assignee: Science Park Corporation
Priority date: 2003-09-04
Filing date: 2004-09-03
Publication date: 2005-03-17
Also published as: KR20060056998A; JPWO2005024630A1; KR100777938B1; EP1662379A1; JP4518564B2; US20070101317A1; CN1886728A; US8042179B2; EP1662379A4

Description

明細書不正コードの防止方法おょぴ防止プログラム技術分野

[0001] 本発明は、電子計算機で動作するプログラムが不正コードによる動作不備又は外部からの攻撃から保護する不正コード実行の防止方法、不正コード実行の防止用プログラム、及び不正コード実行の防止用プログラムの記録媒体に関する。

詳しくは、バッファオーバーフローを検出し、プログラムの動作不備を改善する不正コード実行の防止方法、不正コード実行の防止用プログラム、及び不正コード実行の防止用プログラムの記録媒体に関する。

背景技術

[0002] 電子計算機のオペレーティングシステムは複雑に設計されている。このため、オペレーティングシステムには、セキュリティホールと呼ばれる弱点がある。セキュリティホールとは、ソフトウェアの設計の欠陥やバグにより生じる脆弱性の構造である。悪意のあるユーザは、オペレーティングシステムのこのセキュリティホールを利用して、オペレーティングシステムへ不正に侵入し、ハッキング、クラッキング等の悪意の行為を行うこと力 Sある。その手段としては、メモリのバッファオーバーフロー（Buffer over flow)を利用する方法がある。

[0003] ここで、バッファオーバーフローについて説明する。電子計算機で動作するプログラムは、プログラムコードとプログラムデータの 2つの部分力構成される。プログラムコードは、機械語で書かれた読み出し専用のコードである。プログラムデータは、ォペレ一ティングシステムの実行命令によって実行されるプログラムコードのメモリ上の位置等のインフォメーション部分である。

[0004] プログラムは、通常は、電子計算機のハードディスクに保存されている。プログラムはオペレーティングシステムによって呼び出され実行するとき、プログラム全体で又はその一部が電子計算機のメインメモリである RAM (Random Access Memory)に格納されて動作する。メインメモリは、電子計算機の CPU (中央処理装置)から直接データの読み書きできるメモリで、データを格納する単位容量ごとに番地番号をつけて管理されている。メインメモリの番地番号の小さい方を上位番地（High Memory)領域、番地番号が大きくなると下位番地（Low Memory)領域としている。以下、メインメモリを単にメモリとして説明する。

[0005] プログラムがオペレーティングシステムによって読み出されると、メモリの一部がこのプログラムに割り当てられて、その割り与えられたメモリの上位番地（High Memory)領域にプログラムデータが格納され、下位番地（Low Memory)領域にプログラムコードが格納される。プログラムデータは、スタックデータ（Stack data)、ヒープデータ（Heap data)、スタティックデータ（Static data)の 3つのデータ領域に分かれている。これらの 3つの領域は、お互いに独立してメモリに配置されている。実行されるプログラムが、オペレーティングシステムによってハードディスクから呼び出されると、最初は、プログラムコードが読み出されメモリに格納される。続いて、プログラムデータが読み出されてメモリに格納される。

[0006] 図 5は、電子計算機のメモリの構造を示す概念図である。メモリの上位番地側はスタックメモリ領域になっている。スタックメモリ領域は、プログラムが実行されるごとに、そのプログラムとプログラム内のサブルーチン用のスタックメモリがここに確保されてメモリの下位番地へと順番に格納される。スタックメモリは、引数 (Argument)領域、リタ一ンアドレス（Return Address)領域、スタックデータ領域等から構成される。

[0007] メモリの下位番地側は、ヒープデータ領域、スタティックデータ領域、プログラムコード領域等の領域から構成されている。スタティックデータ領域は、プログラムコード領域より上位番地側に位置し、グローバル変数と static C++クラスメンバーが予約されるメモリ領域である。スタティックデータ領域より上位番地側にはヒープデータ領域が位置する。ヒープデータ領域は C言語の malloc()、 allocO関数、 C++言語の newオペレータに割り当てられてレ、る領域である。

[0008] スタックメモリ領域は LIFO (Last-in,first-out)方式でアクセスされる。スタックメモリは、実行命令が終了後の次の命令が実行されるリターンアドレス等の関数パラメータやローカル変数等が格納される。このリターンアドレスはもつとも重要な値である。

[0009] 図 6には、 C言語で書かれているプログラムを例示している。プログラムが実行されると、まず main()関数が実行されて（行 1一 3)、 4行目のサブルーチンの sub(Datal)が呼び出されてプログラムの処理が 10行目に移っている。 sub()サブルーチンでは、 16 行目の return命令で、 sub()を呼び出した元の位置へ処理を移している。このとき、メモリにどのようにデータが格納されるかを説明する。

[0010] サブルーチンが呼び出されると、図 7に図示したように、スタックメモリ領域にデータが書き込まれる。スタックメモリ領域の上位番地側から「main()へのリターンアドレス」が格納されて、サブルーチン内のローカル変数が格納される領域が予約される。この例では、変数 i (11行目）と buf(12行目）がある。 14行目の strcpy命令でサブルーチンの引数 Dataの値を bufにコピーしている。このとき、引数 Dataの値が bufのサイズより大きい場合は、ローカル変数 i、場合によっては、 main()ルーチンへのリターンアドレスまで上書きしてしまうことになる。このように、データが確保されたメモリの領域に入りきれないで別の変数のための領域にまで書き込まれる。これは、バッファオーバーフローである。リターンアドレスが別の値に書き換えられているので、プログラムは正常の動作をしなくなる。

[0011] 通常これらのプログラム、プログラムのサブルーチン、関数が実行されて終わると、リターンアドレスに示された位置に戻され、プログラムの実行が継続される。し力し、プログラムの作り方に不具合があると、上に説明したように、データを書き込みするときにローカル変数の確保領域を超えてリターンアドレスを上書きすることが可能になる。

[0012] 通常リターンアドレスの書き換えによってバッファオーバーフローを起こしたプログラムは、不定な実行状態となる。場合によっては、プログラムが暴走、あるいは停止することが殆どである。リターンアドレスが意図的に用意したメモリ番地に戻されると、オペレーティングシステムはこれを不正なコードと分からずにこのメモリ番地に格納されてレ、る命令を継続して実行させる。ノッファオ一バーフローによる脆弱性を利用した攻撃は、このように意図的に用意したコードを実行させることである。

[0013] このようなバッファオーバーフローによる不正コードの実行は、プログラムの実行管理を行っているオペレーティングシステムでは全く把握できなレ、。この不正コードの実行を防ぐには、リターンアドレスの改ざん、書き換えを如何に防ぐ力、、あるいは検知できるかが非常に重要である。 [0014] この問題を解決する方法としては、オペレーティングシステムに修正を加える方法や、コンパイラにバッファオーバーフローを防ぐ仕組みを作る方法等が提案されている。オペレーティングシステムに修正をカ卩える方法としては、非特許文献 1のプロジェタトがある。このプロジェクトでは、オープンソースのオペレーティングシステムのバッファオ一バーフローを防ぐためには、スタックのリターンアドレス領域を関数が実行されなレ、別のメモリ領域に移す方法で対処してレ、る。

[0015] コンパイラにバッファオーバーフローを防ぐ仕組みをする方法としては、非特許文献

2がある。この方法は、 GCCコンパイラに、スタックメモリの下位番地に保護セクションを設けてデータのオーバーライトを検知している。

[0016] また、特許文献 1の場合は、記憶装置に保護数値の領域を定義し、スタックメモリのデータを保護数値の領域に保存して保護し、処理指令を実行している。保護数値の領域にリターンアドレス等が保護されているためサブルーチン等の処理指令が実行されてもプログラムカウンタが保護される。

非特午文献 1： Openwall Linux kernel patch project,

URL:http://www. openwall.com/linux/

非特許文献 2 : StackGuard: Simple Stack Smash Protection go GCC, URL:

http:// www.immunix .com/^wagle

特許文献 1 :米国公開特許番号 US2001013094？ Al?-?2001-08_09、 "Memory device, stack protection system, computer system, compiler, stack protection method, storage medium and program transmission apparatus .

発明の開示

発明が解決しょうとする課題

[0017] 上記のいずれの方法においても、プログラムコードの変更及びリビルドが必要である。よって、これらの方法を実施しする際には、時間が掛かる。また、この不正コードの実行を利用している代表的なものは、コンピュータウィルスである。従来からコンビユータウィルスからの防止手法はシグネチヤ方式であり、未知の攻撃パターンの場合は何の効果も無い。そのため、不具合が生じる度にオペレーティングシステムの変更、パッチファイルの提供が必要とされている。 [0018] 本発明は上述のような技術背景のもとになされたものであり、下記の目的を達成する。

本発明の目的は、電子計算機のメモリの番地に格納されているデータの改ざん防止、データ改ざんの検出を行う方法、そのプログラム、プログラムの記録媒体を提供することである。

本発明の目的は、プログラムの実行時におけるスタックメモリ内のリターンアドレスへの改ざん防止と検出を行う方法を提供することである。

本発明の他の目的は、ハードウェア、オペレーティングシステム、カーネルモードソフトウエア、アプリケーションソフトウェアを変更することなく利用できる不正コード実行の防止機能を提供することである。

本発明の更に他の目的は、アプリケーションソフトウェア及び、カーネルモードソフトウェアがバッファオーバーフローによる脆弱性を有するときも有効に不正コード実行の防止機能を提供することである。

本発明の更に他の目的は、不正コードが実行される前に検出し、不正なコードの実行を抑止することである。

課題を解決するための手段

[0019] 本発明は、前記目的を達成するため、次の手段を採る。

本発明の 1発明の不正コード実行の防止方法は、電子計算機の記憶媒体に格納されているプログラムが中央演算処理装置によって実行されるとき、メモリのスタックメモリ領域に格納されてレ、るリターンアドレス力不正コードの実行によってオーバーライトされる前記メモリのバッファオーバーフローを検知し、前記バッファオーバーフローの発生を防止するための方法である。

[0020] この不正コード実行の防止方法は、前記リターンアドレスをバックアップし、前記不正コードの実行によって前記リターンアドレスが改ざんされるとき、前記改ざんを前記中央演算処理装置のデバッグ機能によって検知することを特徴とする。

[0021] また、前記デバッグ機能に利用されるデバッグレジスタに、前記リターンアドレスが格納されているメモリ番地を記録し、前記デバッグレジスタに記録された前記メモリ番地の値が改ざんされたとき、前記中央演算処理装置がエラーの信号を出力して前記検知を行うと良い。

[0022] 更に、前記リターンアドレスを実行プログラムのデータが格納されていないメモリ領域に保存して前記バックアップを行うと良い。

また更に、前記スタックメモリ領域に格納されている前記リターンアドレスを、前記バックアップされたアドレスと比較して前記バッファオーバーフローを検知する手段を有すると良い。

[0023] また更に、前記リターンアドレスが改ざんされたとき、前記メモリ番地を保存された前記リターンアドレスで書き換える制御手段を有すると良い。

また更に、 ttmp,リターンアド'レスが格されている ttmpスタックメモリ令百み出しの) †牛にして、 ttmp,リターンアド'レス呆讜し、み出し専の) †牛に言されている ttmRttmpスタックメモリ領 ¾に¾き； ί入み行うに、前記中演》処理置力エラーのィ言》力して ttmp n»fiい、 ttmp,ヱラーのィ言をけて、 ttmp,プログラムを停止又は、前記プログラムの流れを制御するための制御手段を有すると良い前記リターンアドレスは、前記プログラムが実行されるときに呼び出されるプロセス、前記プロセスから呼び出されるスレッドの内の 1以上のリターンアドレスであると良レ、。

[0024] 本発明の第 2の発明の不正コード実行の防止用プログラムは、電子計算機の記憶媒体に格納されているプログラムが中央演算処理装置によって実行されるとき、メモリのスタックメモリ領域に格納されているリターンアドレスが不正コードの実行によってォ一バーライトされるメモリのバッファオーバーフローを検知し、前記バッファオーバーフローの発生を防止させるように前記電子計算機を動作させるためのプログラムである。

この不正コード実行の防止用プログラムは、前記プログラムが前記記憶媒体から呼び出されるとき、前記プログラムの中の分岐命令を取得して解析するための解析ステツプと、前記プログラムのプロセス又はスレッドの前記リターンアドレスを抽出するための抽出ステップと、前記リターンアドレスが前記スタックメモリ領域に格納される番地を前記中央演算処理装置のデバッグ機能のデバッグアドレスに登録するための登録ステツプと、前記プログラムが動作するとき、前記プログラムの流れを制御するための制御ステップと、前記リターンアドレスと前記番地を登録してバックアップするためのバックアップステップとから構成され、前記プログラムの実行時に前記リターンアドレスが改ざんされるとき、前記デバッグ機能により前記中央演算処理装置がエラーの信号を出力し、前記プログラムの実行に割り込みを行い、前記プログラムの流れを前記制御ステップに移動させることを特徴とする。

[0025] また、前記リターンアドレスが書き換えられたとき、前記制御ステップは、前記プログラムを停止させるステップを有すると良い。

更に、前記リターンアドレスが書き換えられたとき、前記制御ステップは、前記リターンアドレスをバックアップされた前記リターンアドレスで書き換えするステップを有すると良い。

[0026] また更に、前記リターンアドレスが書き換えられたとき、前記制御ステップは、前記書き換えした値を保存するステップを有すると良い。

前記リターンアドレスが格納されている前記スタックメモリ領城を読み出し専用の属件にして、前記リターンアドレスを保譁するための保譁ステップ、読み出し専用の属性に設定されている前記 tmpスタックメモリ領ナ或に書 j入みを行うきに、前冲央演算処理装置がヱラーの信号を出力して前記檢知を行うための檢知ステップ、前記エラーの信号をけて、前記プログラムを停止又は、前記プログラムの流れを制御するための前記制御ステップを有する良い。

また更に、前記プログラムは、アプリケーションソフトウェア、オペレーティングシステムのソフトウェアモジュール、カーネルモードソフトウェア、これらの中で使用する関数、サブルーチンから選択される内 1以上であると良い。

[0027] 本発明の第 3の発明の不正コード実行の防止用プログラムの記録媒体は、上述の不正コード実行の防止用プログラムを記録した記録媒体である。

発明の効果

[0028] 本発明によると、次の効果が奏される。

本発明の不正コード防止方法は、ハードウェア、オペレーティングシステム、カーネルモードソフトウェア、アプリケーションソフトウェアを変更することなぐ不正コードの実行を防止できる。本発明の不正コード防止方法は、アプリケーションソフトウェア及び、カーネルモードソフトウェアが、バッファオーバーフローによる脆弱性を有するときも有効に対応できる。

本発明の不正コード防止方法は、不正コードが実行される前に検出し、不正なコードの実行を抑止できる。

発明を実施するための最良の形態

[0029] 以下、本発明の最良の実施の形態を図面によって具体的に説明する。

[実施の形態 1]

以下、本発明の実施の形態 1を説明する。

本発明は、電子計算機のメインメモリに格納されているデータが書き換えをされ、改ざんされる行為を検知する方法を提供するものである。また、この方法により、電子計算機のメインメモリに格納されてレ、るデータが書き換えをされ、改ざんされる行為を検知し、書き換えまたは改ざんされたデータを復元するためのプログラムを提供する。更に、本発明は、そのプログラムを記録した記録媒体を提供するものである。この本発明の実施の形態の概要を説明する。

[0030] CPUのデバッグ機能は、アプリケーションプログラムが実行されるときに発生するェラーを検出するための機能である。このためには、 CPUにデバッグレジスタと呼ばれる複数のメモリを用意しており、メインメモリの特定の番地の動作を監視するために利用している。このデバッグレジスタに監視する番地のアドレス及び CPU動作を登録し、この番地の値が変更されるときに CPUがこれを検知してエラー信号を出している。そして、アプリケーションプログラムの実行に割り込みをして、別のプログラムを動作させることが可能である。

[0031] 本実施の形態 1では、バッファオーバーフローによる不正コードの実行を検知し、データ改ざん等を防止するプログラムの動作を説明する。電子計算機上にプログラムが動作するときに、従来技術で説明したように、プログラム、サブプログラム、関数が呼び出されるごとにそのリターンアドレスがスタックメモリ領域に格納される。電子計算機の CPUのデバッグレジスタには、リターンアドレスが格納されているメインメモリの番地を指定して記録して置く。 [0032] また同時に、リターンアドレスをメインメモリの別の領域にバックアップして置く。この番地のデータが改ざんされると CPUによってエラーが検知され、実行されているプログラムに割り込みをし、制御を別のプログラムに移動させて、データ改ざん、不正コードの実行を防止することができる。バックアップしたリターンアドレスを、元の番地に書き換えし、プログラムを正常な動作に戻す。また、書き換えられたアドレスをバックアツプして、バッファオーバーフローによるコンピュータウィルス攻撃のパターン解析にも利用することが可能である。

[0033] 以下、本発明の実施の形態 1の不正コード防止方法は、このデバッグレジスタを利用したデータの改ざんを検知し、改ざんされたデータを修復する方法を実現させるために、ドライバウェア層と、エラールーチンを提供するものである。このドライバウェア層は、上述のリターンアドレスを把握し、デバッグレジスタに登録し、バックアップする機能を有する。エラールーチンは、リターンアドレスのデータが改ざんされると、この改ざんを修復するための機能を提供している。以下、本発明の実施の形態 1を詳細に説明する。

[0034] 図 1には、本発明の実施の形態の概要を図示している。図 1には、電子計算機上で動作するソフトウェア 1、ドライバウェア 2、ファイルシステムドライバ 3、ハードディスク 4 が図示されている。通常、実行可能なプログラムはハードディスク 4に実行可能フアイル 5として保存され、オペレーティングシステムの呼び出し命令で読み出されメモリ 6 へ格納される。ソフトウェア 1は、電子計算機上に動作しているアプリケーションプログラムを意味する。このアプリケーションプログラムは、オペレーティングシステムのカーネルモード又は、ユーザモードで動作するどのようなプログラムでも良い。

[0035] ドライバウェア 2は、ファイルシステムドライバ 3とオペレーティングシステムが提供するサービスとの間に位置するもので、オペレーティングシステムから電子計算機の各デバイスから/へ読み出し/書き込みをするときの制御を行うプログラムである。

[0036] ファイルシステムドライバ 3は、電子計算機に内蔵又は接続されてレ、る記憶装置に格納されているデータを読み出し、この記憶装置にデータを書き込みするためのドラィバである。ハードディスク 4は、通常、電子計算機に内蔵されているハードディスクである。しかし、ソフトウェア 1が格納され、オペレーティングシステムから呼び出されて実行可能であれば、外付けハードディスク、フラッシュメモリ、 CD— ROMなどの外部記憶装置であっても良い。

[0037] 本実施の形態 1では、オペレーティングシステムからプログラム（図 1の実行可能フアイル 5)を呼び出しする命令は、ドライバウェア 2を介してファイルシステムドライバ 3 へ送信される形式をとる。

ファイルシステムドライバ 3はハードディスク 4からプログラムを呼び出し、ドライバゥェァ 2へ渡す。ドライバウェア 2はプログラムを解析してメインルーチン、サブルーチンを把握し、それぞれのリターンアドレスを取得し、バッファオーバーフローを検出する制御を行う。リターンアドレスは、 CALL命令等の分岐命令で出力されてスタックメモリに格納され、 RET, RETxx命令で戻るためのアドレスである。

この一連の動作を図 3のフローチャートを参照しながら説明する。オペレーティングシステム、又はアプリケーションプログラムからプログラム（図 1の実行可能ファイル 5) を起動する（ステップ 1)。ドライバウェア 2は、プログラムの起動を検出する（ステップ 2 )。ドライバウェア 2は、プログラムを解析してメインノレ一チン、サブルーチンを把握し、それぞれのリターンアドレスを取得する。ドライバウェア 2は、プログラムの起動によつて生成される引数、ローカル変数、関数アドレスを調べ (ステップ 3)、関数アドレスを保存する。具体的には、プログラム内で実行されるコール（CALL)、リターン (RET、 RETN)、ジャンプ（JMP)等の分岐命令の実行するイベントを調べリターンアドレスを取得し、保存する (ステップ 4)。

[0038] そして、ドライバウェア 2は、プログラムが実行している間に、コール命令（Call命令）等の分岐命令をフックするようにしてドライバウェア 2へ制御を移動できるようにする（ステップ 5)。具体的には、 OSが提供する PsSetLoadlmageNotifyRoutineOを呼び出し、プロセス起動時に呼び出されるコールバック関数（LoadlmageNotifyRoutine)を登録して行われる。スレッド生成の場合は、 _beginthread()の開始アドレスを取得し、この開始アドレスにブレークポイントを設置する。ドライバウェア 2は、プログラムの実行時に、スタックメモリ上のリターンアドレスの保護と改ざんの検出機能を組み込む（ステップ 6

) o

[0039] リターンアドレスの保護には、上述の CPUのデバッグ機能を利用する。このように、 CPUのデバッグ機能の内、特定のメモリ番地が書き換えられるとエラー出力をする機能があり、制御が指定された番地へ移動させることが可能である。このとき、 CPUのデバッグレジスタにリターンアドレスのメモリ番地を指定してエラーが検知されるとき、オペレーティングシステムは割り込み命令を出し、ドライバウェア 2へ制御を移す。リターンアドレスにこの機能を適用する。よって、リターンアドレスが書き換えられるとデバッグ機能によりエラーを検出し、ドライバウェア 2へ制御が移動するように設定される。ドライバウェア 2はステップ 1で指定されたプログラムを実行する (ステップ 7)。

[0040] 図 4は、プログラムが起動されて実行されるときのバッファオーバーフローを検出する手順を示すフローチャートである。

[0041] オペレーティングシステム又はアプリケーションプログラムからは、プログラムを実行するときに呼び出し命令（Call命令）が実行されると、 CPUの割り込みが発生し、ドライバウエア 2に制御が移る（ステップ 10— 11)。ドライバウェア 2はプログラムの実行によつて生成される引数、ローカル変数、関数アドレスを調べ (ステップ 12)、実行時におけるスタック 2 ^上のリターンアドレスをデバッグ機能によって保護、又は、記憶する (ステップ 13)。

[0042] この保譏は、リターンアドレスが格納されているスタックメモリを読み出し専用の属性に設定して行われこのスタックメモリに書き i入みを行うとき CPUがエラーを発生し CPUの割り込みが発生しドライバウェア 2に制御が移るため、リターンアドレスを変更し改ざんすることができなくなり、保譏することが可能にな上述の記憶は、スタックメモリ上のリターンアドレスをメモリの別の領域にバックアップして保存すリターンァドレスが改ざんされたときは、このバックアップしてリターンアドレスと比較して改ざんを木金雷 ΪΗするこが可になる。

[0043] そして、ドライバウェア 3が命令（IRET)を出し (ステップ 14)、ステップ 1 1で割り込まれた実行アドレスへ制御を戻す (ステップ 15)、実行する（ステップ 16)。

プログラムの実行中にバッファオーバーフローになると、リターンアドレスが上書きされて、 CPUがエラーを出力する。又は、呼び出された関数からの戻る直前で、ドライバウエアがステップ 13で記憶したリターンアドレスと、スタック上のリターンアドレスを比較する（ステップ 17 19)。ドライバウェア 2がエラーを検出する（ステップ 20)。そして、プログラムの実行を中断して、エラールーチンへ制御が移る（ステップ 21)。エラールーチン（図示せず）は、エラーが検出されたときに実行され、プログラムの実行が停止、スタックメモリの内容の保存やリターンアドレスを事前に保存したデータで書き換えする等の機能を持つプログラムである。このエラールーチンによって、プログラムの実行を停止、継続、そして不正コードの保存ができる (ステップ 22)。

[0044] 図 2には、電子計算機が外部から攻撃される例を図示している。ネットワークカード

10を介して、ウィルスや不正コード等を有する外部データが送信されてくる。外部データはネットワークカード 10、 NDIS 11、 Winsockl 2を介してメモリ 6に格納される。外部データがメモリ 6に格納されるとき、プログラムのリターンアドレスの一部又は全部が書き換えられると、 CPUがエラーを出力し制御がドライバウェア 2に移る。ドライバウエア 2はこのエラー検出を受けてエラールーチンをフックして対応する。

このように、バッファオーバーフローを利用した不正侵入、攻撃はすべて把握し、対処すること力 Sできる。実行中のプロセスの停止、スタックメモリの内容の保存、元のプ口セスの実行継続などができる。プロセスの停止によっては、実行しているプロセスを停止して、プログラムの暴走を止めることができる。スタックメモリの内容の保存によつては、不正コードを保存でき、その後の解析などの作業で攻撃、ウィルスの種類、そのパターンを把握できる。

[0045] 本実施の形態は、ユーザモードだけで動作するアプリケーションプログラムだけはなくて、カーネルモードで動作するプログラムにも適応される。また、同様な方法でバッファオ一バーフローの手法を利用するプログラムであれば全てに適応できる。

[0046] (実施例）

本発明の実施の形態 1の実施例を示す。本実施例では、 Intel社 (登録商標）の 32 ビットアーキテクチャーのプロセッサで、命令トレース機能を実装しているものを想定してレ、る。具体的には、 PentkimPro (登録商標）以後に開発されたプロセッサ、又はこのプロセッサと互換性のあるプロセッサである。オペレーティングシステムは、マイクロソフト社の Windows2000 (登録商標）である。

ドライバウェア 2が動作し、バッファオーバーフローの検知を行うための準備としての初期化処理、プログラムが実行されると発生されるプロセスとスレッドを検知し、メインルーチン、サブルーチンを把握する。そして、ドライバウェア 2がバッファオーバーフローを検知すると、エラールーチンとしてプロセス中断処理を動作させて対処する。これらの動作について、詳細に説明する。

[0047] ドライバウェアが起動すると初期化処理を行う（図 8を参照、説明は後述する。）。この初期化処理では、プログラムが呼び出されるとき生成されるプロセスとスレッドの検知を行う。この初期化処理の詳細は、図 8— 10のフローチャート（後述する）で示している。

この初期化処理を行った後は、プログラムが動作を開始する。このプログラムの動作中に実行されるジャンプ (JMP)、コール（CALL)、リターン (RET)等の分岐命令をすべて登録し、トレースする。 CALL, RET、 RETxx命令が実行されるとき、バッファォ一バーフローを検知している。 CALL, RET、 RETxx命令の検知は、図 11、 12に示すフローチャートに示している。

[0048] CALL, RET、 RETxx命令の検知された後の処理は、図 13—図 16のフローチャートと、このフローチャートに対応する説明中のプログラムコードに示している。

[0049] (初期化処理）

図 8のフローチャートは、初期化処理の概要を示している。まずは、ドライバウェアが起動し、バッファオーバーフローを監視するプロセス名をレジストリから読み込む（ステップ 100)。そして、監視対象のプロセスのプロセス生成コールバックを登録する（ステップ 101)。このプロセス生成コールバックの登録について詳細には、図 9のフローチヤートに示している。その後、スタックレコーダを初期化し、メモリ領域を確保する（ステップ 102)。そして、監視対象スレッドのスレッド生成イベントのフック設定を行う（ステップ 103)。それから、実行命令のトレースを開始する。

プロセス生成コールバックの登録は、 OSが提供する PsSetLoadlmageNotifyRoutineO を呼び出し、プロセス起動時に呼び出されるコールバック関数（

LoadlmageNotifyRoutine)を登録して行われる。このコールバック関数は、次のプロトタイプで定義される。

[0050] [プログラムコード 1 ]

void LoadlmageNotifyRoutine (

PUNICODE_STRING FulllmageName

HANDLE Processld,

PIMAGE— INFO Imagelnfo

[0051] 次に、図 9のフローチャートには、プロセス生成コールバックの登録の手順を示している。プロセスが生成されると LoadlmageNotifyRoutine関数が呼び出される（ステップ 110)。以下、 LoadlmageNotifyRoutine内での動作を示す。監視する対象のプロセスかを判定する（ステップ 111)。この判定のときは、 LoadlmageNotifyRoutineの引数 FulllmageNameに、対象となるプロセスモジュール名が存在するかどうかを調べる。存在してレ、た場合は次の処理に移る（はレ、）。

プロセスモジュールのエントリポイントアドレスの取得する（ステップ 112)。 Windows で使用される実行モジュールファイルの先頭部分 (ヘッダ）を調査し、最初に実行される関数（エントリポイント）のアドレスを取得する。そして、エントリポイントに、ブレークポイントを設置する（ステップ 113)。このときのプログラムコードの例は次の通りである。

[0052]

[プログラムコ一ド 2 ]

PVOID ImageBase = (PVOID)lmagelnfo->lmageBase;

MZ一 HEADER *mz_Header = (MZ—HEADER *)lmageBase;

MZ_NE *mz一 ne = (MZ_NE *)((char *) ImageBase + siz8of(MZ_HEADER));

I AGE_NT_HEADERS *lmageNtHeaders =

(IMAGE一 NT_HEADERS *)((char ImageBase + mz_ne->ne_header);

char *EntryPoint =

(char *)((ULONG)lmagelnfo->lmageBase+

lmageNtHeaders->OptionalHeader.AddressOfEntryPoint); そして、 IA-32命令のトレース機能を有効にして、トレースコールバック関数（

ASO_HookJNT01H)の登録のために IDT (割り込みディスクリプタテーブル）の 01Hを書き換える（ステップ 114)。この登録のためのプログラムコードは以下の通りである。 [0054]

[プログラムコード 3 ]

IDTR idtr;

PIDTENTRY Oldt;

PIDTENTRY Nldt;

― asm{

SIDT idtr;

Oldt = (PIDTENTRY)MAKELONG(idtr丄 owlDTbase, idtr.HilDTbase);

gOldlNTOI H_Handler= MAKELONG(Oldt[IGATE01].OffsetLow, Oldt[IGATE01].OffsetHigh);

Nldt = &(Oldt【IGATE01】)；

― asm{

LEA EAX, ASO— Hook— INT01 H //

MOV EBX, Nldt;

MOV [EBX], AX

SHR EAX, 16

MOV [EBX+6], AX;

LIDT idtr

プロセスが起動した時に最初に実行される命令にハードウェアブレークポイントを設定し、実行された際にトレースコールバック関数 (ASO_Hook_INT01H)が呼び出されるようにする（ステップ 115)。このためのプログラムコードは以下の通りである。

[0056]

[プログラムコード 4 ]

MOV EAX, KickStartAddress //最初に実行される命令のァドレス

MOV DR0, EAX

MOV EAX, DR7

OR EAX, 0x00000000； II Set LEN0 = 00 (lByte Length)

OR EAX, 0x00000000； II Set RAV0 = 00 (On Execution Only) OR EAX, 0x00000200； II Set GE

OR EAX, 0x00000002； II Enable GO

MOV DR7, EAX; II Set DE7 スタックレコーダの初期化（ステップ 102を参照）は、指定された監視対象のプロセスのスレッドが生成される度に動的に実施される。スタックレコーダの各スタックは、次のように定義される。

[0058] [プログラムコード 5]

typedef struct _ASO_STACK_LIST{

LIST— ENTRY m_ListEntry;

ULONG Threadld;

ULONG *StackPointer;

LONG CurrentStackLocation;

}ASO_STACK一 LIST, *PASO_STACK_LIST;

[0059] 図 10のフローチャートには、スレッド生成イベントのフック設定（ステップ 103を参照 )の手順を示している。スレッドが生成される（ステップ 120)と、監視する対象のプロセスか否かを判定する（ステップ 121)。生成されたスレッドが監視する対象のプロセスのときは、 _beginthread()の開始アドレスを取得する（ステップ 122)。この開始アドレスにブレークポイントを設置する（ステップ 123)。それから、トレースを開始する（ステップ 124)。

複数スレッドのシステムには、スレッドを生成するカーネル APIである

NtCreateThreadをフックすることで適用させている。そのため、 NtCreateThreadを呼び出す際に経由されるべクタ 2Eの割り込みハンドラ（ASO_HookJNT2EH)を書き換える。このときのプログラムコードは次のようになる。

[0060]

[プログラムコード 6]

IDTR idtr;

PIDTENTRY Oldt;

PIDTENTRY Nldt;

一 asm SIDT idtr;

Oldt = (PIDTENTRY)MAKELONG(idtr.LowlDTbase, idtr.HilDTbase);

g0ldlNT2EH_Handler = M A KE LO N G (01 d t[ I G AT E2 E] . Of f set Lo w, 0ldt[IGATE2E].0ffsetHigh);

Nldt = & (Oldt[IGATE2E】)；

一 asm {

CLI

LEA EAX, ASO_Hook_INT2EH

MOV EBX, Nldt;

MOV [EBX], AX

SHR EAX, 16

MOV [EBX+6], AX;

LIDT idtr

STI [0061] スレッド生成イベント（CreateThreadO)のフック設定で使用されるプログラムコードは次のとおりである。

[0062]

[プログラムコード 7 ]

KIRQL Oldlrql;

KeRaiselrq!(HIGH LEVEL, &Oldlrql);

asm(

PUSHAD

II Tor CreateThreadO

MOV EAX, EBP II現在の EBP

MOV EAX, [EAX] II前の EBP(ASO_Hook_INT2BH)

MOV EAX, [EAX] II前の EBP(CreateThread)

ADD EAX, 0x10 II Stack + 10H (IpStartAddress)

MOV EBX, [EAX] II EBX <- Thread address

CMP EBX, 0X7800BE4A II if EBX == — beginthread's start_address (2K+SP0) then

JNZ SET_MEMORYBREAK

II for _beginthread()

MOV EAX, EBP II現在の EBP

MOV EAX, [EAX] II前の EBP(ASO_Hook_INT2BH)

MOV EAX, [EAX] II前の EBP(CreateThread)

MOV EAX, [EAX] II前の EBPし beginthread)

ADD EAX, OxOC II Stack + 0CH (start一 address)

MOV EBX, [EAX] II EBX <- Thread address

SET MEMORYBREAK:

PUSH EBX II Paraml

CALL InstallNewlntOI Handler

POPAD

[0063] このように、一連の初期化処理が終了すると、プログラムが実行され、 CALL、 RET 等の分岐命令をトレースする。次に、トレースしているときの処理を、図 11、 12のフロ一チャートに示している。トレース処理が開始されると（ステップ 150)、 DR6のトレースフラッグをクリアして（ステップ 151)、 CALL命令、 RET命令を判別している。図 11、図 12の分岐半 IJ定のときは（ステップ 154— 183)、 CALL、 RET, RETN命令を判別し、それぞれ「CALL処理へ」、「RET処理へ」、「RENT処理へ」となっている。「CALL処理へ」、「RET処理へ」、「RENT処理へ」は、それぞれ図 13、図 14、図 15のフローチャートに示している。 CALL, RET, RETN命令を判別するときのプログラムコードは、次のようになる。

[0064]

[プログラムコード 8 ]

II DR6く- 0x00000000

MOV EAX, DR6

AND EAX, OxFFFFBFFF

MOV DE6, EAX

II EDX:EAX <- LastBranchFromlp

MOV ECX, 0x000001DB; II MSR = 0x01DB (LastBranchFromlp)

RDMSR;

PUSH ES MOV BX, OxOOlB

MOV ES, BX

MOV EDX, EAX

MOV EAX, ES: [EAX]

POP ES

II

II Branch on Instruction

II

CMP AL, 0xE8 II Relative near call

JZ CALL_FOUND

CMP AL, OxFF II Direct near/far call

JZ CALLORJMP一 FOUND

CMP AL, 0x9A II Direct far call

JZ CALL_FOUND

CMP AL, 0xC3 II near RET

JZ RET一 FOUND

CMP AL, OxCB II far RET

JZ RET_FOUND

CMP AL, 0xC2 II near RET with POP

JZ RETN— FOUND

CMP AL, OxCA II far RET with POP

JZ RETN_FOUND

JMP CALL_NOTFOUND

CALLORJMP— FOUND

TEST AH, 0x10 // CALL/2

JNZ CALL— FOUND

TEST AH, 0x18 II CALL/3

JNZ CALL— FOUND

CMP AH, 0xE4 II JMP ESP

JZ JMPESP一 FOUND

JMP CALL— NOTFOUND

[0065] ここでは、 CALL, RET、 RETNの判別は、それぞれ CALL_FOUND、 RET.FOUND RETN_FOUNDとしてコード化されている。プログラムコードの分岐命令にて

CALL_FOUNDにジャンプした場合、 CALL命令が実行されたと見なして、図 13のフロ一チャートに示す処理が行われる。 RET, RETNの場合は同様である。

図 13には、 CALL命令が実行されるときの処理を示している。 CALL命令の実行が開始されると（ステップ 200)、 CALL命令に割り与えられたスタックメモリのスタックセグメント（CS)のアドレスを取得する（ステップ 201)。そして、 CALL命令で格納されるリターンアドレスのスタックポイントを取得する（ステップ 202)。その後、スタックメモリからリターンアドレスを取得する（ステップ 203)。このときのプログラムコードは次のようになる。

[プログラムコード 9 ]

CALL一 FOUND:

PUSH ES

II Get Stack segment (CS)

MOV ECX, EBP

ADD ECX, + 4 + 4 + 4 + 4 + 4

MOV EAX, [ECX]

MOV ES, AX

II Get Stack pointer

MOV ECX, EBP

ADD ECX, + 4 + 4 + 4 + 4

LES EDX, [ECX] // Now EDX point to Stack Address

II Get RetlP

MOV ECX, EDX

MOV AX, 0x001 B // Usermode Only

MOV ES, AX II

MOV EDX, ES:[ECX] 〃 Retrieve RetlP on Stack

II

II Now EDX point to RetlP on Stack

II

POP ES この取得したリターンアドレスをスタックレコーダに登録する（ステップ 204)。このときのプログラムコードは、次のようになる。 [0068]

[プログラムコード l 0 ]

KeRaiselrql(HIGH_LEVEL, &Oldlrql);

PASO-STACK-UST StackList = (PASO_STACK_LIST)gStackList[Threadld];

if (StackList == 0){

II Error

}else if (StackList->CurrentStackLocation > STACK_LIMIT){

StackList = NULL;

}else if (StackList->CurrentStackLocation >= 0){

StackList->StackPointer[StackList->CurrentStackLocation] = ExpectedRetlp;

StackList->CurrentStackLocation ++;

KeLowerlrql(Oldlrql);

[0069] そして、 MSRと EFLAGを設定して命令トレースを再開する（ステップ 205、 206)。

IRETDにて処理を完了。

図 14には、 RET命令が実行されるときの処理を示している。 RET命令の実行が開始されると（ステップ 250)、 RET命令に割り与えられたスタックメモリのスタックセグメント（ CS)のアドレスを取得する（ステップ 251)。そして、 RET命令で指定されたリターンァドレスのスタックポインタを取得する（ステップ 252)。その後、スタックメモリからリタ一ンアドレスを取得する（ステップ 253)。このときのプログラムコードは次のようになる。

[0070]

[プログラムコード 1 1 ]

RET—FOUND:

PUSH ES

II Get Stack segment (CS)

MOV ECX, EBP

ADD ECX, + 4 + 4 + 4 + 4 + 4

MOV EAX, [ECX1

MOV ES, AX

II Get Stack pointer

MOV ECX, EBP

ADD ECX, + 4 + 4 + 4 + 4

MOV EAX, [ECX]

LES EDX, [ECX] II Now EDX point to Stack Address

SUB EDX, +4 II Back 4Bytes from Current Stack Address MOV ECX, EDX

MOV AX, 0x001 B

MOV ES, AX

MOV EDX, ES:[ECX] [0071] そして、スタックレコーダからリターンアドレスと同じ値があるかを検索する（ステップ 254)。リターンアドレスは、この RET命令に対応する CALL命令のときにスタックレコーダに登録されているものである。しかし、リターンアドレスが改ざんされた場合は、スタックレコーダの中力同じアドレスが見つ力なレ、。このときは、プロセス中断処理（次のコードの Terminate_VirusCodeO)へ移る（ステップ 260)。同じアドレスが見つかると、スタックレコーダから 1レコードを削除（ステップ 255)する。このときのプログラムコードは次のようになる。

[0072]

[プログラムコード 1 2 ]

KeRaiselrql(HIGH— LEVEL, &Oldlrql);

PASO— STACK_LIST StackList = (PASO_STACK_LIST)gStackList[Threadld];

if (StackList == 0){

II Stack not found

jelse if (StackList->CurrentStackLocation > 0){

StackList->CurrentStackLocation—；

ULONG ExpectedRetlp

= StackList->StackPointer[StackList->CurrentStackLocation];

StackList->StackPointer[StackList->CurrentStackLocation] = 0;

if (ExpectedRetlp != Tolp){

LONG i;

BOOLEAN StackFound = FALSE;

for (i = Stackし ist->CurrentStackLocation; i >= 0; i -){

if (StackList->StackPointer[i] == Tolp){

LONG j;

for (j = i; j <= StackList->CurrentStackLocation; j++){

StackList->StackPointer[j] = 0;

StackList->CurrentStackLocation = i;

StackFound = TRUE;

break; if (!StackFound){

II Not found

Terminate_VirusCode(Fromlp, Tolp, ExpectedRetlp);

}else{

DbgPrint(" Illegal Stack LocationVn");

KeLowerlrql(Oldlrql);

[0073] そして、 MSRと EFLAGを設定して命令トレースを再開する（ステップ 256、 257)。

IRETDにて処理を完了。図 15には、 RETN命令が実行されるときの処理を示している。 RETN命令の実行が開始されると（ステップ 300)、 RETN命令に害 IJ

ント（CS)のアドレスを取得する（ステップ 301)。そして、 RETN命令で指定されたリターンアドレスのスタックポイントを取得する（ステップ 302)。その後、スタックメモリからリターンアドレスを取得する（ステップ 303)。このときのプログラムコードは次のようになる。

[0074]

[プログラムコード 1 3 ]

RETN_FOUND:

II Get Stack Byte Length

ADD EDX, +1

MOV EAX, [EDX]

PUSH ES PUSH EAX

II Get Stack segment (CS)

MOV ECX, EBP

ADD ECX, + 4 + 4 + 4 + 4 + 4

MOV EAX, [ECX]

MOV ES, AX

II Get Stack pointer

MOV ECX, EBP

ADD ECX, + 4 + 4 + 4 + 4

MOV EAX, [ECX]

LES EDX,【ECX] II Now EDX point to Stack Address

POP EAX

MOVZX EAX, EAX

SUB EDX, EAX

SUB EDX, +4

MOV ECX, EDX

MOV AX, 0x001 B

MOV ES, AX

MOV EDX, ES:[ECX]

[0075] そして、スタックレコーダからリターンアドレスと同じ値があるかを検索する（ステップ 304)。リターンアドレスは、この RETN命令に対応する CALL命令のときにスタックレコーダに登録されているものである。しかし、リターンアドレスが改ざんされた場合は、スタックレコーダの中力も同じアドレスが見つ力もなレ、。このときは、プロセス中断処理（次のコードの Terminate_VirusCodeO)へ移る（ステップ 310)。同じアドレスが見つ力、ると、スタックレコーダから 1レコードを削除（ステップ 305)する。このときのプログラムコードは次のようになる。

[0076]

[プログラムコード 1 4 ]

KeRaiselrql(HIGH— LEVEL, &Oldlrql);

PASO-STACK-LIST StackList = (PASO_STACK_LIST)gStackList[Threadld];

if (StackList == 0){

II Stack not found

}else if (StackList->CurrentStackLocation > 0){

StackList->CurrentStackLocation—；

ULONG ExpectedRetlp

= StackList->StackPointer[StackList->CurrentStackLocation];

StackList->StackPointer[StackList->CurrentStackLocation] = 0;

if (ExpectedRetlp != Tolp){

LONG i;

BOOLEAN StackFound = FALSE;

for (i = StackList->CurrentStackLocalion; i >= 0; i— ){

if (StackList->StackPointer[i] == Tolp){

LONG j;

for (j = i; j <= StackList->CurrentStackLocation; j++){

StackList->StackPointer[j] = 0;

}

StackList->CurrentSね ckLocation = i;

StackFound = TRUE;

break; if (!StackFound){

II Not found

Terminate_VirusCode(Fromlp, Tolp, ExpectedRetlp);

}else{

DbgPrint(" Illegal Stack LocationVn");

KeLowerlrql(Oldlrql);

[0077] そして、 MSRと EFLAGを設定して命令トレースを再開する（ステップ 306、 307)。

IRETDにて処理を完了。

図 16には、 JMP ESP処理が実行されるときの処理を示している。 JMP ESPは、例えばネットワークを経由して侵入するウィルス等がスタックメモリ上のプログラムコードを実行するために必要な命令である。そのためスタックのリターンアドレスの検索結果に依存することなぐ JMPESP命令を使用する実行モジュールは稀であるため禁止対象としてある。 JMP ESPが判別すると、プロセス中断処理を行う（ステップ 351)。ステップ 260、 310、 351のプロセス中断処理は、 RET、 RETN命令の次に実行される命令のアドレスを取得し、そこを不正な命令（INT3等）に書き換える。プロセスの実行を継続させ、不正な命令でプロセスを停止させる。このときのプログラムコードは次のようになる。

[プログラムコード 1 5 ]

void— stdcall Terminate— VirusCode(ULONG Fromlp, ULONG Tolp)

IsDetected = TRUE;

II Rewrite Fromlp(Next instruction of JMP ESP) to INT3

asm!

PUSH EAX PUSH EDX

MOV AL， OxCC // INT 3

MOV EDX, Fromlp

MOV SS:[EDX], AL

POP EDX POP EAX

[0079] 上述したように、バッファオーバーフローを利用した不正侵入、攻撃はすべて把握し、対処すること力できる。実行しているプロセスを停止して、プログラムの暴走を止めること力 Sできる。

このような方法でバッファオーバーフローを実現可能な、すべてのオペレーティングシステムにも適応可能である。

[0080] (その他の実施の形態）

産業上の利用可能性

[0081] 本発明は、コンピュータウィルス対策、外部からの不正侵入の防止、セキュリティが要求される分野のすべてに利用される。特に、ネットワークに接続して利用されるパソコン、スーパーコンピュータ、サーバを利用したシステムに利用してよレ、。個人情報保護、電子ファイルのセキュリティが要求される電子政府、軍事、防衛関連のシステムに用いられる。また、プログラムの欠陥、不正コードの利用を検知するとき利用すると良い。

図面の簡単な説明

[0082] [図 1]図 1は、本発明の概要を図示している概念図である。

[図 2]図 2は、本発明のバッファオーバーフローによるエラー検出を示す概念図である

[図 3]図 3は、実行ファイルのロード時の手順を示すフローチャートである。

[図 4]図 4は、実行ファイルの実行時の手順を示すフローチャートである

[図 5]図 5は、メモリの構造を示す図である。

[図 6]図 6は、プログラムのメインルーチン、サブルーチンを例示した図ある。

[図 7]図 7は、スタックメモリの構造を示す図ある。

[図 8]図 8のは、ドライバウェアが起動するときの初期化処理の手順を示すフローチヤートである。

[図 9]図 9は、プロセス生成コールバックの登録の手順を示すフローチャートである。

[図 10]図 10は、スレッド生成イベントのフック設定の手順を示しているフローチャートである。

[図 11]図 11は、 CALL, RET等の分岐命令をトレースしているときの処理の流れを示すフローチャートである。

[図 12]図 12は、図 11の CALLorJMP処理の処理手順を示すフローチャートである。

[図 13]図 13は、 CALL命令が実行されるときの処理を示すフローチャートである。

[図 14]図 14は、 RET命令が実行されるときの処理を示すフローチャートである。

[図 15]図 15は、 RET命令が実行されるときの処理を示すフローチャートである。

[図 16]図 16は、 JPM ESP処理の手順を示すフローチャートである。

符号の説明

[0083] 1…ソフトウェア

2…ドライバウェア

₄…ハードディスク 5…実行可能ファイル …メモリ

…ネットワークカード- --NDIS

- --Winsock

Claims

請求の範囲

電子計算機の記憶媒体に格納されているプログラムが中央演算処理装置によって実行されるとき、

メモリのスタックメモリ領域に格納されているリターンアドレス力不正コードの実行によってオーバーライトされる前記メモリのバッファオーバーフローを検知し、前記バッファオ一バーフローの発生を防止する方法において、

前記不正コードの実行によって前記リターンアドレスが改ざんされるとき、前記改ざんを前記中央演算処理装置のデバッグ機能によって検知する

ことを特徴とする不正コード実行の防止方法。

[2] 請求項 1において、

前記デバッグ機能に利用されるデバッグレジスタに、前記リターンアドレスが格納されてレ、るメモリ番地を記録し、

前記デバッグレジスタに記録された前記メモリ番地の値が改ざんされたとき、前記中央演算処理装置がエラーの信号を出力して前記検知を行う

ことを特徴とする不正コード実行の防止方法。

[3] 請求項 1又は 2において、

前記リターンアドレスを実行プログラムのデータが格納されていなレ、メモリ領域に保存して前記バックアップを行う

ことを特徴とする不正コード実行の防止方法。

[4] 請求項 3において、

前記スタックメモリ領域に格納されている前記リターンアドレスを、前記バックアップされたアドレスと比較して前記バッファオーバーフローを検知する手段を有することを特徴とする不正コード実行の防止方法。

[5] 請求項 3又は 4において、

前記リターンアドレスが改ざんされたとき、前記メモリ番地を保存された前記リターンアドレスで書き換える制御手段を有する

ことを特徴とする不正コード実行の防止方法。

[6] 請求項 1又は 2において、

前記リターンアドレスが格納されている前記スタックメモリ領域を読み出し専用の属性にして、前記リターンアドレスを保護し、

読み出し専用の属性に設定されている前記前記スタックメモリ領域に書き込みを行うときに、前記中央演算処理装置がエラーの信号を出力して前記検知を行い、前記エラーの信号を受けて、前記プログラムを停止又は、前記プログラムの流れを制御するための制御手段を有する

ことを特徴とする不正コード実行の防止方法。

[7] 請求項 1から 6の中から選択されるいずれか 1項において、

前記リターンアドレスは、前記プログラムが実行されるときに呼び出されるプロセス、前記プロセスから呼び出されるスレッドの内の 1以上のリターンアドレスであることを特徴とする不正コード実行の防止方法。

[8] 電子計算機の記憶媒体に格納されているプログラムが中央演算処理装置によって実行されるとき、

メモリのスタックメモリ領域に格納されているリターンアドレスが不正コードの実行によってオーバーライトされるメモリのバッファオーバーフローを検知し、前記バッファォ一バーフローの発生を防止させるように前記電子計算機を動作させる不正コード実行の防止用プログラムにおいて、

前記プログラムが前記記憶媒体から呼び出されるとき、前記プログラムの中の分岐命令を取得して解析するための解析ステップと、

前記プログラムのプロセス又はスレッドの前記リターンアドレスを抽出するための抽出ステップと、

前記リターンアドレスが前記スタックメモリ領域に格納される番地を前記中央演算処理装置のデバッグ機能のデバッグアドレスに登録するための登録ステップと、前記プログラムが動作するとき、前記プログラムの流れを制御するための制御ステツプと、

前記リターンアドレスと前記番地を登録してバックアップするためのバックアップステップとから構成され、

前記プログラムの実行時に前記リターンアドレスが改ざんされるとき、前記デバッグ機能により前記中央演算処理装置がエラーの信号を出力し、前記プログラムの実行に割り込みを行レ、、前記プログラムの流れを前記制御ステップに移動させることを特徴とする不正コード実行の防止用プログラム。

請求項 8において、

前記リターンアドレスが書き換えられたとき、前記制御ステップは、前記プログラムを停止させるステップを有する

ことを特徴とする不正コード実行の防止用プログラム。

請求項 8又 9において、

前記リターンアドレスが書き換えられたとき、前記制御ステップは、前記リターンアドレスをバックアップされた前記リターンアドレスで書き換えするステップを有することを特徴とする不正コード実行の防止用プログラム。

請求項 8又 9において、

前記リターンアドレスが書き換えられたとき、前記制御ステップは、前記書き換えした値を保存するステップを有する

ことを特徴とする不正コード実行の防止用プログラム。

請求項 8において、

前記リターンアドレスが格納されている前記スタックメモリ領域を読み出し専用の属性にして、前記リターンアドレスを保護するための保護ステップと、

読み出し専用の属性に設定されている前記前記スタックメモリ領域に書き込みを行うときに、前記中央演算処理装置がエラーの信号を出力して前記検知を行うための検知ステップと、

前記エラーの信号を受けて、前記プログラムを停止又は、前記プログラムの流れを制御するための前記制御ステップとを有する

ことを特徴とする不正コード実行の防止用プログラム。

請求項 8から 12の中から選択される 1項において、

前記プログラムは、アプリケーションソフトウェア、オペレーティングシステムのソフトウェアモジュール、カーネルモードソフトウェア、これらの中で使用する関数、サブル一チンから選択される内 1以上である

ことを特徴とする不正コード実行の防止用プログラム。

請求項 8から 13の中から選択される 1項に記載された、不正コード実行の防止用プログラムを記録した不正コード実行の防止用プログラムの記録媒体。