WO2023067668A1

WO2023067668A1 - 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム

Info

Publication number: WO2023067668A1
Application number: PCT/JP2021/038502
Authority: WO
Inventors: 利宣碓井; 知範幾世; 裕平川古谷; 誠岩村
Original assignee: 日本電信電話株式会社
Priority date: 2021-10-18
Filing date: 2021-10-18
Publication date: 2023-04-27

Abstract

解析機能付与装置（１０）は、スクリプトエンジンのＶＭを解析し、フックを施して解析用コードを挿入する箇所であるフックポイント、及び、次に実行されるＶＭの命令を指し示す変数であるＶＰＣを取得する仮想機械解析部（１２１）と、ＶＭの命令の体系である命令セットアーキテクチャを解析して、分岐を発生させるＶＭ命令である分岐ＶＭ命令を取得する命令セットアーキテクチャ解析部（１２２）と、仮想機械解析部（１２１）及び命令セットアーキテクチャ解析部（１２２）による解析によって得られたアーキテクチャ情報である、ＶＰＣ及び分岐ＶＭ命令に基づいて、スクリプトエンジンのフックポイントに、例外が発生した場合には、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して解析機能を付与する機能付与部（１２３）と、を有する。

Description

解析機能付与方法、解析機能付与装置及び解析機能付与プログラム

　本発明は、解析機能付与方法、解析機能付与装置及び解析機能付与プログラムに関する。

　マルウェアを用いたスパム（マルスパム）やファイルレスマルウェアなどの多様な攻撃の形態が生じるにともなって、悪性な挙動を示すスクリプト（悪性スクリプト）による攻撃の脅威が顕在化している。

　悪性スクリプトとは、悪意のある挙動を持ったスクリプトであり、スクリプトエンジンの提供する機能を悪用して攻撃を実現するプログラムである。一般に、オペレーティングシステム（Operating　System：ＯＳ）がデフォルトで有するスクリプトエンジンや、Webブラウザや文書ファイルのビューアなど、特定のアプリケーションが有するスクリプトエンジンを用いて攻撃が実施される。

　こうしたスクリプトエンジンの多くは、ユーザの許可が必要な場合もあるものの、ファイル操作やネットワーク通信、プロセスの起動など、システムを介した挙動も実現可能である。したがって、悪性スクリプトを用いた攻撃は、実行ファイルのマルウェアを用いた攻撃と同様に、ユーザに対しての脅威となる。

　この悪性スクリプトによる攻撃に対策を講じるためには、スクリプトの持つ挙動を正確に把握する必要がある。したがって、スクリプトを解析することで、その挙動を明らかにする技術が希求される。

　悪性スクリプトを解析する際に生じる問題として、コードの難読化がある。悪性スクリプトの多くは、難読化と呼ばれる、解析を妨害する処理が施されている。難読化は、故意にコードの複雑さを高めることで、コードの表層的な情報に基づく解析を困難にする。すなわち、スクリプトを実行せずに、コードから得られる情報で解析する、静的解析と呼ばれる解析方法を妨害する。

　特に、実行するコードの一部を外部から動的に取得する場合は、そのコードは実行しなければ得られないため、静的には解析できない。したがって、静的解析はその原理上、不可能となる。

　一方で、スクリプトを実行し、その振る舞いを監視することで挙動を知る動的解析と呼ばれる手法は、前述のような難読化の影響を受けない。このため、悪性スクリプトの解析においては、動的解析に基づく手法が主に用いられている。

　一般的な動的解析では、解析環境で悪性スクリプトを実行し、その挙動を監視することにより、悪性スクリプト中で実行された単一の実行経路の挙動のみが得られる。このため、解析環境で実行されなかった経路の挙動は得ることができないという問題がある。

　言い換えると、特定の条件下でしか実行されない経路を有する悪性スクリプトについては、動的解析によっても、全ての挙動を解析しきれないという問題がある。

　特定の条件下でしか実行されない経路がある場合として、例えば、指令サーバからの指令によってその先の実行経路が決まる場合や、解析妨害によって解析環境では悪性な挙動を示さないようになっている場合がある。

　前者は、指令サーバからの指令がなければ、その先の実行経路が決定されず、悪性な挙動を持った経路が実行されない場合である。悪性スクリプトを検出して解析する際には、既に攻撃者が撤退して指令サーバがなくなっている場合も少なくないため、そのような場合には、悪性な挙動を観測できない。

　後者は、悪性スクリプトが、自身が実行されている環境の情報を取得し、それが特定の条件を満たしていなければ、悪性な挙動を示さないという解析妨害である。例えば、解析環境に高頻度に見られる特徴が見られた場合には、自分が解析されていると判断して、実行を中断するという解析妨害に用いられる。

　図２９は、解析妨害の一例を示すコード片を示す図である。このコード片は、実行されている環境のＣＰＵ（Central　Processing　Unit）のコア数を取得し、それが２以上かつ８以下でなければ、解析環境の可能性が高いと判断して、実行を終了するという解析妨害を持つ。さもなければ、解析環境ではないと判断して、悪性な挙動を示す。

　このような特定の条件下でしか実行されない経路の挙動を捉えるためには、複数の実行経路を実行するマルチパス実行が必要となる。

　マルチパス実行では、実行が条件分岐に到達した際に、実行状態を分岐させ、分岐した各々の実行状態が、分岐のそれぞれの実行経路を辿るようにする。これにより、条件分岐で発生する二つの実行経路の両方を実行する。

　マルチパス実行の実現について、例えば、非特許文献１には、JavaScript（登録商標）に対して、マルチパス実行の一種であるシンボリック実行を実現する手法が記載されている。この手法によれば、JavaScriptのスクリプトの条件分岐において、実行可能な経路を網羅的に辿り、挙動を観測できる。

　また、非特許文献２には、JavaScriptに対して、マルチパス実行の一種である経路強制実行を実現する手法が記載されている。この手法によれば、JavaScriptのスクリプトの条件分岐において、全ての経路を網羅的に辿り、挙動を観測できる。

　非特許文献３には、スクリプトエンジンに予め手動で改造を施した上で、そのスクリプトエンジンをバイナリ向けのシンボリック実行基盤の上で実行することで、スクリプトエンジン上で実行されているスクリプトに対して、スクリプトエンジン越しにシンボリック実行を実現する手法が記載されている。この手法によれば、手動で改造を施せるスクリプトエンジンがあれば、どのようなスクリプト言語でも汎用的にシンボリック実行を実現し、実行可能な経路を網羅的に辿って、挙動を観測できる。

　そして、非特許文献４には、マルウェアが自身のプログラムの難読化にしばしば用いる仮想機械（Virtual　Machine：ＶＭ）を解析する手法が記載されている。この手法によれば、ＶＭを解析することで、そのアーキテクチャの情報を取得できる。スクリプトエンジンにおいてスクリプトの実行を司るのはＶＭであるため、この手法の考え方を一部転用できる。

　非特許文献５には、スクリプトエンジンを解析し、得られたアーキテクチャの情報に基づいて、マルチパス実行機能を実現するコードを追加することにより、スクリプトのマルチパス実行を可能にしている。この手法によれば、多様なスクリプトの言語やエンジンに対して、マルチパス実行を実現できる。

Prateek　Saxena,　et　al,　"A　Symbolic　Execution　Framework　for　JavaScript",　2010　IEEE　Symposium　on　Security　and　Privacy. Kyungtae　Kim,　et　al,　"J-Force:　Forced　Execution　on　JavaScript". Stefan　Bucur,　et　al,　"Prototyping　Symbolic　Execution　Engines　for　Interpreted　Languages". Monirul　Sharif,　et　al,　"Automatic　Reverse　Engineering　of　Malware　Emulators",　2009　30th　IEEE　Symposium　on　Security　and　Privacy. 碓井利宣,　古川和祈,　大月勇人,　幾世知範,　川古谷裕平,　岩村誠,　三好潤,　松浦幹太,　"スクリプト実行環境に対するマルチパス実行機能の自動付与手法",　2019年コンピュータセキュリティシンポジウム　(CSS2019),　pp.961－968,　2019.

　ここで、攻撃者が意図的に例外を起こすことで、解析の実行を停止させて、解析を妨害する場合がある。また、経路強制実行によるマルチパス実行では、実行経路を強制することによって、通常の実行では発生し得ない例外が発生し、実行が停止する場合が見受けられる。例外が発生すると解析の実行が停止するため、例外が発生した場合であっても、解析の実行を継続することができる技術が要望されている。

　そのためには、例外の発生時に、例外を引き起こす箇所を強制的にスキップして実行を継続する必要がある。このとき、どの程度の範囲をスキップするべきか、たとえば、現在実行中の命令をスキップするべきか、基本ブロックをスキップするべきか、関数をスキップするべきか、という点は、発生した例外によって異なる。

　したがって、例外による実行の停止を抑制する技術の一つとして、例外を引き起こした基本ブロックをスキップして実行を継続する技術が必要となる。

　本発明は、上記に鑑みてなされたものであって、スクリプトエンジンに対して、例外を引き起こした基本ブロックをスキップすることで例外による実行の停止を抑制した実行機能の付与を実現できる解析機能付与方法、解析機能付与装置及び解析機能付与プログラムを提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明の解析機能付与方法は、解析機能付与装置が実行する解析機能付与方法であって、スクリプトエンジンの仮想機械を解析し、フックを施して解析用コードを挿入する箇所であるフックポイント、及び、次に実行される仮想機械の命令を指し示す変数である仮想プログラムカウンタを取得する第１の解析工程と、仮想機械の命令の体系である命令セットアーキテクチャを解析して、分岐を発生させる仮想機械命令である分岐仮想機械命令を取得する第２の解析工程と、第１の解析工程及び第２の解析工程における解析によって得られたアーキテクチャ情報である、仮想プログラムカウンタ及び分岐仮想機械命令に基づいて、スクリプトエンジンのフックポイントに、例外が発生した場合には、仮想プログラムカウンタの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して解析機能を付与する付与工程と、を含んだことを特徴とする。

　本発明によれば、スクリプトエンジンに対して、例外による実行の停止を抑制した実行機能の付与を実現できる。

図１は、例外ハンドラの一例を説明する図である。図２は、スクリプトＡＰＩのフックを用いたハイパーバイザコールの一例を示す図である。図３は、実施の形態に係る解析機能付与装置の構成の一例を説明する図である。図４は、仮想プログラムカウンタ（ＶＰＣ）の検出に用いるテストスクリプトの一例を示す図である。図５は、分岐ＶＭ命令検出に用いるテストスクリプトの一例を示す図である。図６は、実行トレースの一例を示す図である。図７は、ＶＭ実行トレースの一例を示す図である。図８は、ＶＭ命令境界検出部の処理を説明する図である。図９は、仮想プログラムカウンタ検出部の処理を説明する図である。図１０は、ディスパッチャ検出部の処理を説明する図である。図１１は、分岐ＶＭ命令検出部の処理を説明する図である。図１２は、ＶＭブランチトレース構築処理を説明する図である。図１３は、制御フローグラフ構築処理を説明する図である。図１４は、基本ブロックスキップ処理を説明する図である。図１５は、実施の形態に係る解析機能付与処理の処理手順を示すフローチャートである。図１６は、図１５に示す実行トレース取得処理の処理手順を示すフローチャートである。図１７は、図１５に示すフック・タップポイント検出処理の処理手順を示すフローチャートである。図１８は、図１５に示すＶＭ命令境界検出処理の処理手順を示すフローチャートである。図１９は、図１５に示す仮想プログラムカウンタ検出処理の処理手順を示すフローチャートである。図２０は、ディスパッチャ検出部の処理を説明する図である。図２１は、図１５に示すＶＭ実行トレース取得処理の処理手順を示すフローチャートである。図２２は、図１５に示す分岐ＶＭ命令検出処理の処理手順を示すフローチャートである。図２３は、図１５に示すフック挿入処理の処理手順を示すフローチャートである。図２４は、ＶＭブランチトレース構築処理の処理手順を示すフローチャートである。図２５は、制御フローグラフ構築処理の処理手順を示すフローチャートである。図２６は、基本ブロックスキップ処理の処理手順を示すフローチャートである。図２７は、図１５に示す例外ハンドラ挿入処理の処理手順を示すフローチャートである。図２８は、プログラムが実行されることにより、解析機能付与装置が実現されるコンピュータの一例を示す図である。図２９は、解析妨害の一例を示すコード片を示す図である。

　以下に、本願に係る解析機能付与方法、解析機能付与装置及び解析機能付与プログラムの実施形態を図面に基づいて詳細に説明する。また、本発明は、以下に説明する実施形態により限定されるものではない。

［実施の形態］
　実施の形態に係る解析機能付与装置は、スクリプトエンジンに適用できる解析機能付与装置である。

　本実施の形態に係る解析機能付与装置は、スクリプトエンジンのバイナリを監視しながらテストスクリプトを実行して、ブランチトレースとメモリアクセストレースとを実行トレースとして取得する。

　そして、解析機能付与装置は、この実行トレースに基づいて仮想機械を解析し、フックポイント、タップポイント、次に実行されるＶＭ命令を指し示す変数である仮想プログラムカウンタ（ＶＰＣ）、ＶＭ命令の境界、ディスパッチャのアーキテクチャ情報を取得する。なお、これらはいずれも、スクリプトエンジンの構成要素であり、アーキテクチャに関する情報であって、アーキテクチャ情報ＤＢ１３２（後述）に格納される。

　さらに、解析機能付与装置は、テストスクリプトを実行してＶＭ実行トレースを取得し、このＶＭ実行トレースを用いて命令セットアーキテクチャを解析する。これによって、解析機能付与装置は、スクリプト内で分岐を発生させるＶＭ命令である分岐ＶＭ命令を、アーキテクチャ情報として取得する。

　そして、解析機能付与装置は、取得したアーキテクチャ情報を基に、スクリプトエンジンのフックポイントに、フックハンドラを用いてフックを挿入する。さらに、解析機能付与装置は、解析対象のスクリプトに、例外ハンドラを挿入し、例外処理機能を付与する。例外ハンドラは、例外の発生を捕捉した場合に、ＶＭ領域に強制的に処理を移す機能を有する。そして、フックハンドラには、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更することで、例外の発生した基本ブロックをスキップする機能が追加される。これによって、解析機能付与装置は、例外が発生した場合にはＶＭ領域に処理を移行し、フックハンドラにおいて指示された、例外が発生した基本ブロックのスキップを行うことで、例外による実行の停止を抑制する。

　図１は、例外ハンドラの一例を説明する図である。図２は、スクリプトＡＰＩのフックを用いたハイパーバイザコールの一例を示す図である。解析機能付与装置は、図１に示すように、解析対象のスクリプトのエントリーポイントに対し、Ｅ１～Ｅ３の枠部分の内容を実行前に静的に追加する（図１の（１），（２））。

　具体的には、解析機能付与装置は、図１に示すように、解析対象のスクリプトのエントリーポイントに対し、「try」及び「catch」のコードを追加し（枠Ｅ１，Ｅ２）、枠Ｅ３の３行目のように、例外が発生した場合には、スクリプトＡＰＩをフックする「hooked_script_API(e)」コードを追加する。これによって、例外時には、スクリプトＡＰＩをフックしハイパーバイザコールとして利用して例外のスキップを行う（図１の（３））。すなわち、解析機能付与装置は、図２に示すように、スクリプトＡＰＩのフックによってハイパーバイザコール相当を実現する（図２の（１））ことで、例外が発生した場合にはＶＭ領域に処理を移行し、フックハンドラにおいて指示された、例外が発生した基本ブロックのスキップを行う。

　このように、解析機能付与装置は、例外を捕捉し、解析対象のスクリプトに例外ハンドラを挿入することで、例外の発生した箇所の先に強制的に実行を進めさせることで、意図しない実行の停止を防ぎつつ、解析を継続する。

［解析機能付与装置の構成］
　続いて、図３を参照して、実施の形態に係る解析機能付与装置１０の構成について具体的に説明する。図３は、実施の形態に係る解析機能付与装置の構成の一例を説明する図である。

　図３に示すように、解析機能付与装置１０は、入力部１１、制御部１２、記憶部１３、出力部１４を有する。そして、解析機能付与装置１０は、テストスクリプト、スクリプトエンジンバイナリ及び解析対象スクリプトの入力を受け付ける。

　入力部１１は、キーボードやマウス等の入力デバイスで構成され、外部からの情報の入力を受け付け、制御部１２に入力する。また、入力部１１は、有線接続、或いは、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースを有し、他の装置から送信された情報の入力を受け付ける。入力部１１は、テストスクリプト及びスクリプトエンジンバイナリの入力を受け付け、制御部１２に出力する。テストスクリプトは、スクリプトエンジンを動的解析して実行トレース及びＶＭ実行トレースを取得する際に、入力されるスクリプトである。なお、テストスクリプトの詳細は後述する。スクリプトエンジンバイナリは、スクリプトエンジンを構成する実行可能ファイルである。スクリプトエンジンバイナリは、複数の実行可能ファイルによって構成される場合がある。解析対象スクリプトは、解析対象のスクリプトである。

　制御部１２は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部１２は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路である。制御部１２は、仮想機械解析部１２１（第１の解析部）、命令セットアーキテクチャ解析部１２２（第２の解析部）及び機能付与部１２３（付与部）を有する。

　仮想機械解析部１２１は、スクリプトエンジンのＶＭを解析する。仮想機械解析部１２１は、実行時の条件を変えて複数の実行トレースを取得し、差分実行解析を用いて複数の実行トレースを解析し、フックポイント、タップポイント、ＶＰＣを取得する。また、仮想機械解析部１２１は、スクリプトエンジンバイナリを解析して、ＶＭ命令の境界およびディスパッチャを取得する。仮想機械解析部１２１は、実行トレース取得部１２１１、フック・タップポイント検出部１２１２、ＶＭ命令境界検出部１２１３、仮想プログラムカウンタ検出部１２１４、ディスパッチャ検出部１２１５を有する。

　実行トレース取得部１２１１は、テストスクリプト及びスクリプトエンジンバイナリを入力として受け付ける。実行トレース取得部１２１１は、スクリプトエンジンバイナリの実行を監視しながら、テストスクリプトを実行することで、実行トレースを取得する。

　実行トレースは、ブランチトレースとメモリアクセストレースとによって構成される。ブランチトレースは、実行の際の分岐命令の種類と、分岐元アドレスと分岐先アドレスを記録する。メモリアクセストレースは、メモリ操作の種類と、操作対象のメモリアドレスを記録する。ブランチトレース及びメモリアクセストレースは、命令フックによって取得可能であることが知られている。実行トレース取得部１２１１が取得した実行トレースは、実行トレースＤＢ１３１に格納される。

　フック・タップポイント検出部１２１２は、実行トレース取得部１２１１によって取得された実行トレースに基づいて仮想機械を解析し、フックポイント、タップポイントを検出する。ここで、フックポイントとは、フックを施して解析用コードを挿入する箇所である。実施の形態においては、スクリプトエンジンの内部実装が持つ関数（内部関数と呼ぶ）を単位とし、フックはこの内部関数の先頭に施されるものとする。また、タップポイントとは、解析用コードによってログ出力するメモリ監視箇所であり、内部関数の引数のいずれかであるとする。

　フック・タップポイント検出部１２１２は、実行トレースＤＢ１３１に格納された実行トレースを取り出して解析し、フックポイントの候補を発見する。フック・タップポイント検出部１２１２は、実行トレースに対して、解析対象に関連したシステムＡＰＩの呼び出しを探索し、そこからのバックトレースによってフックポイント候補を検出する。フック・タップポイント検出部１２１２は、解析対象の言語要素（たとえば、スクリプトＡＰＩ）に対応したシステムＡＰＩからのバックトレースを適用してフックポイントを検出する。

　フック・タップポイント検出部１２１２は、取得条件の異なる複数の実行トレースの差分を抽出し、特定の条件を満たす部分を発見することでフックポイント候補を検出する。フック・タップポイント検出部１２１２は、複数の条件を変えた実行トレースの間に見られる差分に基づいてフックポイントを検出する。この際、フック・タップポイント検出部１２１２は、相同性の高い系列が特定の回数出現することを検出するアルゴリズム（例えば、Smith-Watermanアルゴリズム）を用いてフックポイントを検出する。

　フック・タップポイント検出部１２１２は、得られたフックポイント候補にフックを施し、そのフックが施された関数の引数のメモリを探索することで、タップポイントを検出する。フック・タップポイント検出部１２１２は、フックポイントでの監視に基づいて、解析用コードによってログ出力するメモリ監視箇所であるタップポイントを検出する。また、フック・タップポイント検出部１２１２は、タップポイントを持ったフックポイント候補を、フックポイントとして確定する。なお、フック・タップポイント検出部１２１２の処理の詳細は、国際公開２０２０／０７５３３５を参照されたい。

　ＶＭ命令境界検出部１２１３は、実行トレースをクラスタリングして、各ＶＭ命令の境界を検出する。ＶＭ命令境界検出部１２１３は、実行トレースをクラスタリングして、実行回数が閾値以上のクラスタをＶＭ命令として検出する。クラスタリングでは、複数回実行される連続したコード領域を検出する。これには、例えば、実行された命令間のコード上の距離が近いものをまとめてもよいし、実行されたコードブロックの共通部分列を探してもよいし、他の方法によってもよい。解析機能付与装置１０は、検出したＶＭ命令を構成する連続した命令列の開始点と終了点とを境界として検出する。ここで検出したＶＭ命令の境界は、ＶＰＣ検出、ディスパッチャ検出において用いられる。

　仮想プログラムカウンタ検出部１２１４は、実行トレースＤＢ１３１に格納された第１のテストスクリプトに対する実行トレースを取り出して解析し、ＶＰＣを検出する。仮想プログラムカウンタ検出部１２１４は、メモリの読み込み回数に着目した差分実行解析とＶＭ命令境界検出部１２１３によって検出された各ＶＭ命令の境界とを用いて複数の実行トレースを解析し、ＶＰＣを検出する。仮想プログラムカウンタ検出部１２１４は、各ＶＭ命令の実行後には、必ずＶＰＣを保持するメモリへの読み込みが発生することを利用し、この読み込み先を発見することで、ＶＰＣを検出する。

　このため、仮想プログラムカウンタ検出部１２１４は、ＶＰＣの検出として、メモリの読み込み回数に着目した差分実行解析を用いる。仮想プログラムカウンタ検出部１２１４は、テストスクリプトを用いて取得された複数のテストスクリプトの実行トレースを比較し、メモリ読み込み回数が、繰り返される回数及び繰り返される文の数との双方の増減に比例して変化するメモリを発見する。そして、仮想プログラムカウンタ検出部１２１４は、ＶＭ命令境界検出部１２１３によって検出された各ＶＭ命令の境界を参照して、読み込んだメモリの値が常にＶＭ命令の開始点を指しているものに絞り込む。仮想プログラムカウンタ検出部１２１４は、このメモリをＶＰＣとして検出する。

　ディスパッチャ検出部１２１５は、ＶＭ命令境界検出部１２１３が検出したＶＭ命令の境界を基に、スクリプトエンジンバイナリから各ＶＭ命令部分を切り出し、各ＶＭ命令間で類似度が高い部分をディスパッチャとして検出する。前提として、ディスパッチャは、ポインタキャッシュの参照と次のＶＭ命令ハンドラのポインタへのジャンプで実現される。ディスパッチャは、各々のＶＭ命令ハンドラの後部に分散的に配置されており、一般にそれらのコードの同一性は高い。こうしたＶＭ命令ハンドラの後部に存在し、同一性の高いコードを探すことで、解析機能付与装置は、所定の方法でディスパッチャを検出する。類似度の高い部分の検出には、たとえば系列アライメントアルゴリズムを用いてもよく、その他の方法によってもよい。

　命令セットアーキテクチャ解析部１２２は、ＶＭの命令の体系である命令セットアーキテクチャを解析する。命令セットアーキテクチャ解析部１２２は、ＶＭ実行トレース取得部１２２１（第１の取得部）及び分岐ＶＭ命令検出部１２２２（第１の検出部）を有する。

　ＶＭ実行トレース取得部１２２１は、実行トレース取得部１２１１と同じく、テストスクリプト及びスクリプトエンジンバイナリを入力として受け付ける。ＶＭ実行トレース取得部１２２１は、ＶＰＣの監視と、ディスパッチャがディスパッチするＶＭ命令ハンドラのポインタの監視により、ＶＭ実行トレースを取得する。ＶＭ実行トレース取得部１２２１は、スクリプトエンジンバイナリの実行を監視しながら、テストスクリプトを実行することで、ＶＭ上で実行された実行トレースであるＶＭ実行トレースを取得する。ＶＭ実行トレース取得部１２２１は、分岐ＶＭ命令の検出において、多数のテストスクリプトを実行して、ＶＭ実行トレースを取得する。ＶＭ実行トレース取得部１２２１は、ＶＭ命令へのポインタとＶＭ命令とを紐づけ、各々に識別子としてＶＭオペコードを仮想的に割り振る。

　ＶＭ実行トレースは、実行されたＶＭ命令ハンドラのポインタと、ＶＰＣを記録したものである。具体的には、ＶＭ実行トレースは、実行されたＶＭ命令ごとのＶＰＣとＶＭオペコードで構成される。ＶＰＣの記録は、仮想プログラムカウンタ検出部１２１４で検出されたＶＰＣのメモリを監視することで実現できる。ＶＭオペコードは、ＶＭ命令へのポインタとＶＭ命令とを紐づけた各々に仮想的に割り振られた識別子である。ＶＭ実行トレース取得部１２２１が取得したＶＭ実行トレースは、ＶＭ実行トレースＤＢ１３３に格納される。

　分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースＤＢ１３３に格納されたＶＭ実行トレースを取り出して解析し、分岐ＶＭ命令を検出する。分岐ＶＭ命令検出部１２２２は、識別子として割り振られたＶＭオペコードごとに、その実行の前後でのＶＰＣの変化量を収集する。ＶＭオペコードが分岐ＶＭ命令以外のものの場合、ＶＰＣの変化量は、ほぼ一定である。一方、ＶＭオペコードが分岐ＶＭ命令のものの場合、ＶＰＣは分岐先によってばらつきが生じる。

　そこで、分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースのＶＭオペコードごとの仮想プログラムカウンタの変化量のばらつきによって、分岐ＶＭ命令を検出する。分岐ＶＭ命令検出部１２２２は、分岐ＶＭ命令とそれ以外のＶＭ命令とではＶＰＣの値のばらつきの大きさが異なることに着目し、閾値を決めて、よりＶＰＣの値のばらつきの大きいものを分岐ＶＭ命令として検出する。具体的には、分岐ＶＭ命令検出部１２２２は、ＶＭオペコードごとＶＰＣの変化量のばらつきを分散で評価し、分散が一定の閾値以上のものを、分岐ＶＭ命令として検出する。

　また、分岐ＶＭ命令検出部１２２２は、精緻な制御フローグラフの構築のために、分岐ＶＭ命令のうち、条件分岐ＶＭ命令であるものを判定する。条件分岐の際には、分岐先を決定するために、必ず条件分岐フラグへのアクセスが発生する。そのため、各分岐ＶＭ命令の実行の際に、条件分岐フラグにアクセスしているかを検証することで、条件分岐ＶＭ命令を判定できる。言い換えると、分岐ＶＭ命令の実行の際に、条件分岐フラグにアクセスしていれば条件分岐ＶＭ命令であり、アクセスしていなければ、条件分岐ＶＭ命令ではないと判定できる。そこで、分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースとメモリアクセストレースに基づいて、分岐ＶＭ命令のうち、条件分岐フラグへのアクセスを伴うものを、条件分岐ＶＭ命令と判定する。

　さらに、分岐ＶＭ命令検出部１２２２は、コールおよびリターンのＶＭ命令も判定する。コールＶＭ命令による分岐では、呼び出し元のバイトコード上での直後のアドレスが保存され、呼び出されたサブルーチンの実行後には、リターンＶＭ命令によって、その保存されたアドレスに戻ってくる特徴がある。そこで、分岐ＶＭ命令検出部１２２２は、ある分岐ＶＭ命令を命令１とし、以後の他の分岐ＶＭ命令を命令２として、命令２によって命令１のバイトコード上での直後のアドレスに戻る場合に、命令１と命令２の組を、コールおよびリターンのＶＭ命令と判定する。

　機能付与部１２３は、取得したアーキテクチャ情報を基に、スクリプトエンジンにフックを挿入し、解析対象のスクリプトに、例外ハンドラを挿入し、例外処理機能を付与する。機能付与部１２３は、仮想機械解析部１２１及び命令セットアーキテクチャ解析部１２２による解析によって得られたアーキテクチャ情報である、ＶＰＣ及び分岐ＶＭ命令に基づいて、スクリプトエンジンのフックポイントに、例外が発生した場合には、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して解析機能を付与する。機能付与部１２３は、フック挿入部１２３１及び例外ハンドラ挿入部１２３２を有する。

　フック挿入部１２３１は、スクリプトエンジンにフックを挿入する。フック挿入部１２３１は、仮想機械解析部１２１及び命令セットアーキテクチャ解析部１２２による解析によって得られたアーキテクチャ情報に基づいて、スクリプトエンジンにフックを施す。フック挿入部１２３１は、フックポイント及びタップポイントを受け取り、フックポイント及びタップポイントに基づいて、スクリプトエンジンに、フックハンドラを用いてフックを挿入して解析機能を付与する。フックハンドラは、ＶＭ領域において、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含む。

　具体的には、フック挿入部１２３１は、フックハンドラに、ＶＭブランチトレース構築処理（第１の処理）、制御フローグラフ構築処理（第２の処理）、及び、例外の発生した基本ブロックをスキップする基本ブロックスキップ処理（第３の処理）を追加する。これによって、フックには、ＶＰＣの指す先を、例外が発生した基本ブロックのこの基本ブロックの直後の基本ブロックの先頭に変更し、例外の発生した基本ブロックをスキップする機能が追加される。ＶＭブランチトレース構築処理では、分岐ＶＭ命令の実行前後のＶＰＣを対応付けたＶＭブランチトレースを構築する。制御フローグラフ構築処理では、ＶＭブランチトレースを用いて、基本ブロックをノードとし、分岐ＶＭ命令の実行による分岐をエッジとした制御フローグラフを構築する。

　例外ハンドラ挿入部１２３２は、解析対象のスクリプトに、例外ハンドラを挿入し、例外処理機能を付与する。例外ハンドラは、例外の発生を捕捉した場合に、ＶＭ領域に強制的に処理を移す機能を有する。例外ハンドラ挿入部１２３２は、解析対象のスクリプトを解析し、各エントリーポイントに、エントリーポイント以降のコードでの例外を捕捉できるようして例外ハンドラのコード（例えば、図１参照）を追加することで、例外ハンドラを挿入する。

　記憶部１３は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、解析機能付与装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部１３は、実行トレースデータベース（ＤＢ）１３１、ＶＭ実行トレースＤＢ１３３、及び、仮想機械解析部１２１及び命令セットアーキテクチャ解析部１２２によって取得されたアーキテクチャ情報を記憶するアーキテクチャ情報ＤＢ１３２を有する。

　実行トレースＤＢ１３１及びＶＭ実行トレースＤＢ１３３は、それぞれ実行トレース取得部１２１１及びＶＭ実行トレース取得部１２２１によって取得された実行トレース及びＶＭ実行トレースを格納する。実行トレースＤＢ１３１及びＶＭ実行トレースＤＢ１３３は、解析機能付与装置１０によって管理される。もちろん、実行トレースＤＢ１３１及びＶＭ実行トレースＤＢ１３３は、他の装置（サーバ等）によって管理されていてもよく、この場合には、実行トレース取得部１２１１及びＶＭ実行トレース取得部１２２１は、出力部１４の通信インタフェースを介して、取得した実行トレース及びＶＭ実行トレースを、実行トレースＤＢ１３１及びＶＭ実行トレースＤＢ１３３の管理サーバ等に出力して、実行トレースＤＢ１３１及びＶＭ実行トレースＤＢ１３３に記憶させる。

　出力部１４は、例えば、液晶ディスプレイやプリンタ等であって、解析機能付与装置１０に関する情報を含む各種情報を出力する。また、出力部１４は、外部装置との間で、各種データの入出力を司るインタフェースであってもよく、外部装置に各種情報を出力してもよい。

［テストスクリプトの構成］
　テストスクリプトについて説明する。テストスクリプトは、スクリプトエンジンを動的解析する際に入力されるスクリプトである。このテストスクリプトは、分岐命令の実行やメモリ読み書きの回数に着目し、異なる回数のテストスクリプトを実行したときに生じるスクリプトエンジンの挙動の差分を捉えるために用いられる。このテストスクリプトは、解析の事前に準備するものであり、手動で作成するものである。この作成には、対象のスクリプト言語の仕様に関する知識が必要となる。

　図４は、ＶＰＣの検出に用いるテストスクリプト（第１のテストスクリプト）の一例を示す図である。第１のテストスクリプトでは、繰り返し処理を用いる（２行目）。第１のテストスクリプトでは、テストスクリプト内の繰り返し回数（２行目）や繰り返される文の数（３行目から５行目）を増減させることで、実行時の条件を変更し、差分を発生させる。

　図５は、分岐ＶＭ命令検出に用いるテストスクリプト（第２のテストスクリプト）の一例を示す図である。第２のテストスクリプトでは、複数回の条件分岐を用いる（４行目から８行目）。第２のテストスクリプトにおいて、この複数回の条件分岐では、特定の順序のパターンで分岐がなされたり、なされなかったりするように、分岐条件を制御する（１行目、５行目）。第２のテストスクリプトでは、条件分岐の回数や、分岐の成否の順序パターンを変更し、差分を発生させる。

［実行トレースの構成］
　次に、実行トレースについて説明する。図６は、実行トレースの一例を示す図である。実行トレースは、前述の通り、ブランチトレースとメモリアクセストレースによって構成されている。図６は、実行トレースの一部を切り出したものである。以降、図６を用いて実行トレースの構成を示す。

　実行トレースは、traceという要素を有する。traceには、そのログ行がブランチトレースか、メモリアクセストレースかが示される。

　ブランチトレースのログ行は、例えば、図６の１行目から１０行目に記載の書式になっており、type、src、dstの三つの要素からなる。typeは、実行された分岐命令がcall命令によるものか、jmp命令によるものか、ret命令によるものかを示す。また、srcは、分岐元のアドレスを示し、dstは、分岐先のアドレスを示す。

　メモリアクセストレースのログ行は、たとえば、図６の１１行目から１３行目に記載の書式になっており、type、target、valueの三つの要素からなる。typeは、メモリアクセスが読み込みか書き込みかを示す。targetは、メモリアクセスの対象となるメモリアドレスを示す。また、valueには、メモリアクセスの結果の値が格納される。

［ＶＭ実行トレースの構成］
　次に、ＶＭ実行トレースについて説明する。図７は、ＶＭ実行トレースの一例を示す図である。ＶＭ実行トレースは、前述の通り、ＶＭオペコードとＶＰＣとを記録したものである。図７は、ＶＭ実行トレースの一部を切り出したものである。以降、図７を用いてＶＭ実行トレースの構成を示す。

　ＶＭ実行トレースのログ行は、たとえば、図７に記載の書式になっており、vpc及びvmop（vm　opcode）の二つの要素からなる。vpcは、ＶＰＣの値を示す。また、vmopは、ポインタキャッシュから取得された、実行されるＶＭ命令ハンドラの先頭を指すポインタごとに仮想的に割り振られたＶＭオペコードの値を示す。

［ＶＭ命令境界検出部の処理］
　次に、ＶＭ命令境界検出部１２１３の処理について説明する。図８は、ＶＭ命令境界検出部１２１３の処理を説明する図である。

　ＶＭ命令境界検出部１２１３は、各ＶＭ命令の境界を検出する。この時、ＶＭ命令境界検出部１２１３は、インタプリタループを持たないためにＶＭ命令の境界の把握が難しいスレッデッドコード型ＶＭのために、ＶＭ命令とその境界の検出を行う。具体的には、ＶＭ命令境界検出部１２１３は、実行トレースＤＢ１３１から実行トレースを取り出す。そして、図８に示すように、ＶＭ命令境界検出部１２１３は、実行トレースを、所定の方法でクラスタリングして、実行回数が閾値以上のクラスタをＶＭ命令（例えば、ＶＭ命令ハンドラ１～３）として検出する。ＶＭ命令境界検出部１２１３は、ＶＭ命令を構成する連続した命令列の開始点と終了点とを境界として検出する。

［仮想プログラムカウンタ検出部の処理］
　次に、仮想プログラムカウンタ検出部１２１４の処理について説明する。仮想プログラムカウンタ検出部１２１４は、ＶＰＣ、ポインタキャッシュの検出を行う。仮想プログラムカウンタの検出は、取得した実行トレースのメモリアクセストレースのログを解析することで実現される。仮想プログラムカウンタ検出部１２１４は、メモリの読み込み回数に着目した差分実行解析を用いる。図９は、仮想プログラムカウンタ検出部１２１４の処理を説明する図である。

　仮想プログラムカウンタ検出部１２１４は、実行トレースＤＢ１３１から第１のテストスクリプトによる実行トレースを一つ取り出す。ＶＰＣの読み込みの回数は、テストスクリプト内の繰り返し回数及び、繰り返し処理の中の文の数に比例する。繰り返しの回数をＮ、繰り返される文の数をＭとしたとき、概ねＭＮ程度のＶＰＣの読み込みが発生する。このため、仮想プログラムカウンタ検出部１２１４は、Ｎ及びＭをそれぞれ２Ｎと２Ｍ、３Ｎと３Ｍと増やした第１のテストスクリプトに対する実行トレースにおいて、４ＭＮ、９ＭＮという増え方をしたメモリを抽出する。具体的には、図９に示すように、仮想プログラムカウンタ検出部１２１４は、１ＶＭ命令実行毎にRead／Writeがあり、単調増加するメモリ領域を抽出する（図９の（１））。

　そして、仮想プログラムカウンタ検出部１２１４は、読み込んだメモリの値が常にＶＭ命令の開始点を指しているものを、ＶＰＣとして検出する。具体的には、仮想プログラムカウンタ検出部１２１４は、ＶＰＣの指し先とＶＭ命令ハンドラのアドレスとを照合して、一致するメモリ領域に絞り込む（図９の（２））。

［ディスパッチャ検出部の処理］
　次に、ディスパッチャ検出部１２１５の処理について説明する。ディスパッチャ検出部１２１５は、スクリプトエンジンのバイナリを所定の手法で解析することで、ディスパッチャを検出する。図１０は、ディスパッチャ検出部１２１５の処理を説明する図である。

　ディスパッチャ検出部１２１５は、ディスパッチャの検出を行う。ディスパッチャ検出部１２１５は、ＶＭ命令境界検出部１２１３が検出したＶＭ命令の境界を基に、スクリプトエンジンバイナリから各ＶＭ命令部分を切り出す。そして、ディスパッチャ検出部１２１５は、ディスパッチャのコードの類似性は高いとした仮定の基（図１０の（１））、各ＶＭ命令間でコード間の類似度を算出し、全ＶＭ命令間で類似度が高い部分を、ディスパッチャとして検出する。ディスパッチャ検出部１２１５は、ＶＭ命令の後半部で共通的に実行されるコードを、ディスパッチャとして検出できる（図１０の（１））。

［分岐ＶＭ命令検出部の処理］
　次に、分岐ＶＭ命令検出部１２２２の処理について説明する。分岐ＶＭ命令検出部１２２２は、取得したＶＭ実行トレースのログを解析することで分岐ＶＭ命令を検出する。ここでのテストスクリプトは、分岐ＶＭ命令が含まれていればよいため、分岐の制御構文を含むスクリプトでありさえすればどのようなものでもよい。例えば、インターネット上から収集したり、公式ドキュメントから取得したりしてテストスクリプトを準備する。

　まず、分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースＤＢ１３３の各ＶＭ実行トレースに対し、ＶＭ命令へのポインタとＶＭ命令とを紐づけ、各々に識別子として、ＶＭオペコードを仮想的に割り振る。図１１は、分岐ＶＭ命令検出部１２２２の処理を説明する図である。

　ここで、あるＶＭ命令が分岐命令のとき、ＶＰＣの進みは、分岐先に依存して変化する。一方、分岐命令以外のときは、ＶＰＣの進みは、ＶＭ命令のサイズに依存して変化する。このため、ＶＭ命令のオペコードとＶＭ命令へのポインタとの組を収集し、オペコードごとにＶＰＣの進みを見たとき、分岐命令であれば分岐先によってＶＰＣの進みにばらつきがみられる。

　したがって、分岐ＶＭ命令検出部１２２２は、このＶＭ命令へのポインタのばらつきを評価するため、分散を用いる。分岐ＶＭ命令検出部１２２２は、ＶＭオペコード毎にＶＰＣの変化量の分散を算出し、算出した分散が閾値よりも大きいＶＭオペコードのみに絞り込む。これによって、分岐ＶＭ命令検出部１２２２は、ポインタとＶＭ命令を対応付けつつ、ＶＰＣの進みにばらつきのあるＶＭ命令（図１１の例では、ＶＭ命令ハンドラ３）を、分岐ＶＭ命令として検出する（図１１の（１））。

　あるオペコードに対するＶＰＣの進みの集合ＯをＯ＝｛ｏ_０，ｏ_１，・・・，ｏ_Ｎ｝（ＶＰＣｏの平均は（１）式を参照）とし、ｔを閾値としたとき、分岐命令か否かは、分散ｓ（（２）式を参照）を基に、（３）式のように判定される。これによって、分岐ＶＭ命令検出部１２２２は、分岐ＶＭ命令を検出する。

　なお、分岐以外のＶＭ命令では、ばらつきがほとんど見られず、分岐ＶＭ命令とそれ以外のＶＭ命令との境界は明確であることが多い。このため、閾値として、例えば、得られた分散の値を数直線上にプロットして、できた二つの群を分割可能な値が設定される。

［フック挿入部の処理］
　次に、フック挿入部１２３１の処理を説明する。フック挿入部１２３１は、スクリプトエンジンバイナリと、ここまでの処理で検出されたフックポイント及びタップポイントを入力として受け付ける。フック挿入部１２３１は、スクリプトエンジンに対して、フックポイントにフックハンドラを用いたフックを挿入する。

　ここで、フック挿入部１２３１は、フック時に、フックに対応したスクリプトＡＰＩが実行された際に、ＶＭ領域でのフックハンドラの処理に実行が遷移するように、解析用のコードを挿入する。この解析用のコードは、フックポイントとタップポイントとが判明していれば、容易に生成できる。これによって、フックしたスクリプトＡＰＩをスクリプトから呼び出すことで、ＶＭ領域に実装されたフックハンドラの機能をハイパーバイザコールとして呼び出せるようになり、解析機能の付与が実現される。

　この際、フック挿入部１２３１は、フックハンドラに、ＶＭブランチトレースを構築するＶＭブランチトレース構築処理、制御フローグラフを構築する制御フローグラフ構築処理、及び、例外の発生した基本ブロックをスキップする基本ブロックスキップ処理を追加する。

　図１２は、ＶＭブランチトレース構築処理を説明する図である。ＶＭブランチトレース構築処理では、図１２に示すように、実行されたＶＭ命令のオペコードと、ＶＰＣを記録したＶＭ実行トレース４１から分岐ＶＭ命令を検出する（図１２の（１））。分岐ＶＭ命令は、分岐ＶＭ命令検出部１２２２によって検出された分岐ＶＭ命令リスト４２を参照することで認識することができる。

　そして、ＶＭブランチトレース構築処理では、検出した分岐ＶＭ命令の実行前後のＶＰＣを対応付けたＶＭブランチトレース４３を構築する（図１２の（２））。ＶＭブランチトレース構築処理では、例えば、ＶＭ実行トレースの行Ｒ４１から分岐ＶＭ命令「0x1f」を検出し、行Ｒ４１及び行Ｒ４２の次の行Ｒ４２を基に、行Ｒ６１に示すＶＭブランチトレースを構築する。すなわち、ＶＭブランチトレース構築処理では、行Ｒ４１の分岐元のＶＰＣ「0x555c7e48」と、行Ｒ４２の分岐元のＶＰＣ「0x555c82a0」とを対応付ける。

　同様に、ＶＭブランチトレース構築処理では、ＶＭ実行トレースの行Ｒ５１から分岐ＶＭ命令「0x21」を検出すると、この行Ｒ５１及び次の行Ｒ５２を基に、行Ｒ５１のＶＰＣ「0x555c832c」と、行Ｒ５２のＶＰＣ「0x555c7514」とを対応付ける（行Ｒ７１）。

　図１３は、制御フローグラフ構築処理を説明する図である。制御フローグラフ構築処理では、ＶＭブランチトレース構築処理において構築したＶＭブランチトレース４３を用いて、基本ブロックをノードとし、ＶＭブランチトレース４３の各分岐をエッジとした制御フローグラフを構築する（図１３の（１））。

　具体的には、制御フローグラフ構築処理では、ＶＭブランチトレース４３の行Ｒ６１に示す分岐をエッジＥ６１とし、エッジＥ６１の分岐元の基本ブロックをノードＮ６１とし、エッジＥ６１の分岐先の基本ブロックをノードＮ６２とする。

　そして、ＶＭブランチトレース４３の行Ｒ７１に示す分岐をエッジＥ７１とし、エッジ７１の分岐元の小本ブロックをノードＮ７１とし、エッジＥ７１の分岐先の基本ブロックをノードＮ７２とする。なお、図１３の制御フローグラフの例では、ノードＮ７１には、エッジＥ７１のほかにエッジＥ７２に示す分岐があり、この分岐先の基本ブロックはノードＮ７３で示されている。このように、制御フローグラフ構築処理では、ＶＭブランチトレースを基に、基本ブロックの分岐をグラフ構造で表現した制御フローグラフを構築する。

　図１４は、基本ブロックスキップ処理を説明する図である。基本ブロックスキップ処理では、定常的にＶＰＣを追跡し、例外が発生した場合に、この例外が、制御フローグラフ構築処理において構築した制御フローグラフのどの箇所に該当するかを判別する。そして、基本ブロックスキップ処理では、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更することで、例外の発生した基本ブロックをスキップする処理（図１４の（１））。具体的には、基本ブロックスキップ処理では、図１４の例では、ＶＰＣの指す先を、例外が発生したノードの直後の先頭のノードＮ７１に変更する。そして、ノードＮ７１の実行内容に応じて、エッジＥ７１またはエッジＥ７２に分岐して処理が進む。

　したがって、機能付与部１２３は、例外ハンドラを解析対象のスクリプトに挿入し、フックハンドラに基本ブロックスキップ処理を追加することで、解析対象のスクリプトに、例外スキップ機能を付与することができる。

［解析機能付与装置の処理手順］
　次に、解析機能付与装置１０による解析機能付与処理の処理手順について説明する。図１５は、実施の形態に係る解析機能付与処理の処理手順を示すフローチャートである。

　まず、入力部１１は、テストスクリプト及びスクリプトエンジンバイナリを入力として受け取る（ステップＳ１）。

　そして、実行トレース取得部１２１１は、スクリプトエンジンのバイナリを監視しながらテストスクリプトを実行してブランチトレースとメモリアクセストレースを取得する実行トレース取得処理を行う（ステップＳ２）。

　フック・タップポイント検出部１２１２は、実行トレース取得部１２１１によって取得された実行トレースに基づいて仮想機械を解析し、フックポイント、タップポイントを検出するフック・タップポイント検出処理を行う（ステップＳ３）。

　ＶＭ命令境界検出部１２１３は、ＶＭ命令を検出し、ＶＭ命令の境界を検出するＶＭ命令境界検出処理を行う（ステップＳ４）。仮想プログラムカウンタ検出部１２１４は、実行トレースＤＢ１３１に格納された第１のテストスクリプトに対する実行トレースを取り出して解析し、ＶＰＣを発見する仮想プログラムカウンタ検出処理を行う（ステップＳ５）。

　ディスパッチャ検出部１２１５は、スクリプトエンジンバイナリから各ＶＭ命令部分を切り出し、各ＶＭ命令間で類似度が高い部分をディスパッチャとして検出するディスパッチャ検出処理を行う（ステップＳ６）。

　ＶＭ実行トレース取得部１２２１は、テストスクリプト及びスクリプトエンジンバイナリを入力として受け付け、スクリプトエンジンバイナリの実行を監視しながら、テストスクリプトを実行することで、ＶＭ実行トレースを取得するＶＭ実行トレース取得処理を行う（ステップＳ７）。分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースＤＢ１３３に格納されたＶＭ実行トレースを取り出して解析し、分岐ＶＭ命令を検出する分岐ＶＭ命令検出処理を行う（ステップＳ８）。

　フック挿入部１２３１は、ステップＳ１～ステップＳ６の処理において取得されたアーキテクチャ情報を基に、スクリプトエンジンにフックを挿入するフック挿入処理を行う（ステップＳ９）。そして、例外ハンドラ挿入部１２３２は、解析対象のスクリプトに、例外ハンドラを挿入し、例外処理機能を付与する例外ハンドラ挿入処理を行う（ステップＳ１０）。そして、出力部１２４は、例外スキップ機能が付与されたスクリプトエンジンバイナリを出力する（ステップＳ１１）。

［実行トレース取得処理の処理手順］
　次に、図１５に示す実行トレース取得処理の流れについて説明する。図１６は、図１５に示す実行トレース取得処理の処理手順を示すフローチャートである。

　まず、実行トレース取得部１２１１は、テストスクリプト及びスクリプトエンジンバイナリを入力として受け取る（ステップＳ２１）。そして、実行トレース取得部１２１１は、受け取ったスクリプトエンジンに対して、ブランチトレースを取得するためのフックを施す（ステップＳ２２）。また、実行トレース取得部１２１１は、受け取ったスクリプトエンジンに対して、メモリアクセストレースを取得するためのフックも施す（ステップＳ２３）。

　そして、実行トレース取得部１２１１は、その状態で受け取ったテストスクリプトをスクリプトエンジンに入力して実行させ（ステップＳ２４）、それによって取得される実行トレースを実行トレースＤＢ１３１に格納する（ステップＳ２５）。

　実行トレース取得部１２１１は、入力されたテストスクリプトを全て実行し終えているか否かを判定する（ステップＳ２６）。実行トレース取得部１２１１は、入力されたテストスクリプトを全て実行し終えている場合（ステップＳ２６：Ｙｅｓ）、処理を終了する。これに対し、実行トレース取得部１２１１は、入力されたテストスクリプトを全て実行していない場合（ステップＳ２６：Ｎｏ）、ステップＳ２４のテストスクリプトの実行に戻って処理を続ける。

［フック・タップポイント検出処理の処理手順］
　図１７は、図１５に示すフック・タップポイント検出処理の処理手順を示すフローチャートである。

　図１７に示すように、フック・タップポイント検出処理において、フック・タップポイント検出部１２１２は、フックポイント候補を検出する（ステップＳ３１）。フック・タップポイント検出部１２１２は、フックポイント候補が検出された場合（ステップＳ３２：Ｙｅｓ）、ステップＳ３５に進む。一方、フックポイント候補が検出されなかった場合（ステップＳ３２：Ｎｏ）、フック・タップポイント検出部１２１２は、複数の条件を変えた実行トレースの間に見られる差分に基づいてフックポイントを検出する差分実行解析処理を実施する（ステップＳ３３）。

　そして、フック・タップポイント検出部１２１２１０は、フックポイント候補が検出されなかった場合（ステップＳ３４：Ｎｏ）、フックポイント候補がないため、処理を終了する。一方、フック・タップポイント検出部１２１２は、フックポイント候補が検出された場合（ステップＳ３４：Ｙｅｓ）、ステップＳ３５に進む。フック・タップポイント検出部１２１２は、タップポイントを検出する（ステップＳ３５）。

［ＶＭ命令境界検出処理の処理手順］
　次に、図１５に示すＶＭ命令境界検出処理の流れについて説明する。図１８は、図１５に示すＶＭ命令境界検出処理の処理手順を示すフローチャートである。

　まず、ＶＭ命令境界検出部１２１３は、実行トレースＤＢ１３１から実行トレースを取り出す（ステップＳ４１）。ＶＭ命令境界検出部１２１３は、実行トレースを所定の方法でクラスタリングする（ステップＳ４２）。クラスタリングは、いずれの手法を用いてもよい。

　ＶＭ命令境界検出部１２１３は、実行回数が閾値以上のクラスタをＶＭ命令として検出する（ステップＳ４３）。そして、ＶＭ命令境界検出部１２１３は、ＶＭ命令を構成する連続した命令列の開始点と終了点とを境界とする（ステップＳ４４）。ＶＭ命令境界検出部１２１３は、ＶＭ命令の境界を返り値として出力して（ステップＳ４５）、ＶＭ命令境界検出処理を終了する。

［仮想プログラムカウンタ検出処理の処理手順］
　次に、図１５に示す仮想プログラムカウンタ検出処理の流れについて説明する。図１９は、図１５に示す仮想プログラムカウンタ検出処理の処理手順を示すフローチャートである。

　まず、仮想プログラムカウンタ検出部１２１４は、実行トレースＤＢ１３１から第１のテストスクリプトによる実行トレースを一つ取り出す（ステップＳ５１）。続いて、仮想プログラムカウンタ検出部１２１４は、実行トレースのうちのメモリアクセストレースに着目し、メモリ読み込み先ごとに読み込み回数を数え上げる（ステップＳ５２）。

　仮想プログラムカウンタ検出部１２１４は、実行トレースの取得に用いた第１のテストスクリプトを入力として受け取り（ステップＳ５３）、その第１のテストスクリプトを解析して繰り返しの回数と繰り返される文の数とを取得する（ステップＳ５４）。

　続いて、仮想プログラムカウンタ検出部１２１４は、実行トレースＤＢ１３１から、繰り返し回数や繰り返される文の数の異なる第１のテストスクリプトによる実行トレースを、さらに一つ取り出す（ステップＳ５５）。そして、仮想プログラムカウンタ検出部１２１４は、メモリアクセストレースに着目し、メモリ読み込み先ごとに読み込み回数を数え上げる（ステップＳ５６）。また、仮想プログラムカウンタ検出部１２１４は、実行トレースの取得に用いた第１のテストスクリプトを入力として受け取り（ステップＳ５７）、テストスクリプトを解析して、繰り返しの回数と繰り返される文の数とを取得する（ステップＳ５８）。

　ここで、仮想プログラムカウンタ検出部１２１４は、繰り返し回数や繰り返される文の増減に比例して読み込み回数が変化するメモリ読み込み先のみに絞り込む（ステップＳ５９）。さらに、仮想プログラムカウンタ検出部１２１４は、ステップＳ５９において絞り込んだメモリ読み込み先を、読み込んだメモリの値が常にＶＭ命令の開始点を指しているものに絞り込む（ステップＳ６０）。

　そして、仮想プログラムカウンタ検出部１２１４は、メモリ読み込み先を一つのみに絞り込めたか否かを判定する（ステップＳ６１）。仮想プログラムカウンタ検出部１２１４は、メモリ読み込み先を一つのみに絞り込めていない場合（ステップＳ６１：Ｎｏ）、ステップＳ５５に戻り、次の実行トレースを一つ取り出して処理を継続する。一方、仮想プログラムカウンタ検出部１２１４は、メモリ読み込み先を一つのみに絞り込めた場合（ステップＳ６１：Ｙｅｓ）、絞り込まれたメモリ読み込み先を仮想プログラムカウンタとしてアーキテクチャ情報ＤＢ１３２に格納して（ステップＳ６２）、処理を終了する。

［ディスパッチャ検出処理の処理手順］
　次に、図１５に示すディスパッチャ検出処理の流れについて説明する。図２０は、図１５に示すディスパッチャ検出処理の処理手順を示すフローチャートである。

　まず、ディスパッチャ検出部１２１５は、スクリプトエンジンバイナリを入力として受け取る（ステップＳ７１）。ディスパッチャ検出部１２１５は、ＶＭ命令境界検出部１２１３から、ＶＭ命令の境界を受け取る（ステップＳ７２）。

　ディスパッチャ検出部１２１５は、ＶＭ命令境界検出部１２１３から受け取ったＶＭ命令の境界を基に、スクリプトエンジンバイナリから各ＶＭ命令部分を切り出す（ステップＳ７３）。ディスパッチャ検出部１２１５は、各ＶＭ命令間でコード間の類似度を所定の方法で算出する（ステップＳ７４）。類似度の算出手法は、コード間の類似度を算出できる手法であれば、どの手法でもよい。

　ディスパッチャ検出部１２１５は、ステップＳ７４において算出した類似度を基に、全ＶＭ命令間で類似度が高い部分を取り出す（ステップＳ７５）。そして、ディスパッチャ検出部１２１５は、ＶＭ命令の終端部分であるかを判定する（ステップＳ７６）。

　ＶＭ命令の終端部分でない場合（ステップＳ７６：Ｎｏ）、ディスパッチャ検出部１２１５は、ステップＳ７５に戻り処理を続ける。また、ＶＭ命令の終端部分である場合（ステップＳ７６：Ｙｅｓ）、ディスパッチャ検出部１２１５は、取り出した部分をディスパッチャとして出力して（ステップＳ７７）、処理を終了する。

［ＶＭ実行トレース取得処理の処理手順］
　次に、図１５に示すＶＭ実行トレース取得処理の流れについて説明する。図２１は、図１５に示すＶＭ実行トレース取得処理の処理手順を示すフローチャートである。

　まず、ＶＭ実行トレース取得部１２２１は、テストスクリプト及びスクリプトエンジンバイナリを入力として受け取る（ステップＳ８１）。そして、ＶＭ実行トレース取得部１２２１は、受け取ったスクリプトエンジンに対して、ＶＰＣ及びＶＭオペコードを記録するためのフックを施す（ステップＳ８２）。

　ＶＭ実行トレース取得部１２２１は、その状態で受け取ったテストスクリプトをスクリプトエンジンに入力して実行させ（ステップＳ８３）、それによって取得されるＶＭ実行トレースをＶＭ実行トレースＤＢ１３３に格納する（ステップＳ８４）。

　ＶＭ実行トレース取得部１２２１は、入力されたテストスクリプトを全て実行したか否かを判定する（ステップＳ８５）。ＶＭ実行トレース取得部１２２１は、入力されたテストスクリプトを全て実行し終えている場合（ステップＳ８５：Ｙｅｓ）、処理を終了する。ＶＭ実行トレース取得部１２２１は、入力されたテストスクリプトを全て実行し終えていない場合（ステップＳ８５：Ｎｏ）、ステップＳ８３のテストスクリプトの実行に戻って処理を続ける。

［分岐ＶＭ命令検出処理の処理手順］
　次に、図１５に示す分岐ＶＭ命令検出処理の流れについて説明する。図２２は、図１５に示す分岐ＶＭ命令検出処理の処理手順を示すフローチャートである。

　まず、分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースＤＢ１３３から、ＶＭ実行トレースを一つ取り出す（ステップＳ９１）。分岐ＶＭ命令検出部１２２２は、ＶＭ命令へのポインタとＶＭ命令を紐付け、各々に識別子としてＶＭオペコードを割り振る（ステップＳ９２）。そして、分岐ＶＭ命令検出部１２２２は、ＶＭオペコードごとに、実行の前後でのＶＰＣの変化量を集計する（ステップＳ９３）。

　分岐ＶＭ命令検出部１２２２は、ＶＭ実行トレースＤＢ１３３の全てのＶＭ実行トレースを処理し終えたか否かを判定する（ステップＳ９４）。ＶＭ実行トレースＤＢ１３３の全てのＶＭ実行トレースを処理し終えていない場合（ステップＳ９４：Ｎｏ）、分岐ＶＭ命令検出部１２２２は、ステップＳ９１に戻り、次のＶＭ実行トレースを一つ取り出して処理する。

　ＶＭ実行トレースＤＢ１３３の全てのＶＭ実行トレースを処理し終えている場合（ステップＳ９４：Ｙｅｓ）、分岐ＶＭ命令検出部１２２２は、ＶＭオペコードごとにＶＰＣの変化量の分散を算出する（ステップＳ９５）。そして、分岐ＶＭ命令検出部１２２２は、閾値を入力として受け取る（ステップＳ９６）。分岐ＶＭ命令検出部１２２２は、分散が閾値よりも大きいＶＭオペコードのみに絞り込み（ステップＳ９７）、それらを分岐ＶＭ命令としてアーキテクチャ情報ＤＢ１３２に格納して（ステップＳ９８）、処理を終了する。

［フック挿入処理］
　次に、図１５に示すフック挿入処理の流れについて説明する。図２３は、図１５に示すフック挿入処理の処理手順を示すフローチャートである。

　まず、フック挿入部１２３１は、フック・タップポイント検出部１２１２によって検出されたフックポイント及びタップポイントを入力として受け取り、（ステップＳ１０１）、フックハンドラを準備する（ステップＳ１０２）。

　フック挿入部１２３１は、フックハンドラにＶＭブランチトレース構築処理を追加する（ステップＳ１０３）。フック挿入部１２３１は、フックハンドラに制御フローグラフ構築処理を追加する（ステップＳ１０４）。フック挿入部１２３１は、フックハンドラに基本ブロックスキップ処理を追加する（ステップＳ１０５）。フック挿入部１２３１は、フックポイントにフックハンドラを用いたフックを挿入する（ステップＳ１０６）。

［ＶＭブランチトレース構築処理］
　図２４は、ＶＭブランチトレース構築処理の処理手順を示すフローチャートである。ＶＭブランチトレース構築処理では、ＶＭ実行トレースとＶＭ分岐命令リストとを入力として受け取る（ステップＳ１１１）。

　ＶＭブランチトレース構築処理では、ＶＭ実行トレースのエントリを取り出す（ステップＳ１１２）。ＶＭブランチトレース構築処理では、ＶＭオペコードがＶＭ分岐命令リストに存在するか判定する（ステップＳ１１３）。

　ＶＭブランチトレース構築処理では、ＶＭオペコードがＶＭ分岐命令リストに存在する場合（ステップＳ１１３：Ｙｅｓ）、ＶＰＣを分岐元とし、次のエントリのＶＰＣを分岐先としてＶＭブランチトレースに保存する（ステップＳ１１４）。

　ＶＭブランチトレース構築処理では、ＶＭオペコードがＶＭ分岐命令リストに存在しない場合（ステップＳ１１３：Ｎｏ）、または、ステップＳ１１４終了後、ＶＭ実行トレースの全てのエントリを処理したか否かを判定する（ステップＳ１１５）。

　ＶＭブランチトレース構築処理では、ＶＭ実行トレースの全てのエントリを処理していない場合（ステップＳ１１５：Ｎｏ）、ＶＭ実行トレースの次のエントリを取り出す（ステップＳ１１６）。そして、ＶＭブランチトレース構築処理では、ステップＳ１１３に戻り、次のエントリについて、ＶＭオペコードがＶＭ分岐命令リストに存在するか判定する。

　一方、ＶＭブランチトレース構築処理では、ＶＭ実行トレースの全てのエントリを処理した場合（ステップＳ１１５：Ｙｅｓ）、フックポイントにフックハンドラを用いたフックを挿入する（ステップＳ１１７）。

［制御フローグラフ構築処理］
　図２５は、制御フローグラフ構築処理の処理手順を示すフローチャートである。制御フローグラフ構築処理では、ＶＭブランチトレースを入力として受け取ると（ステップＳ１２１）、ＶＭブランチトレースのエントリを取り出す（ステップＳ１２２）。

　制御フローグラフ構築処理では、分岐先アドレスを起点とする基本ブロックをノードとして制御フローグラフに追加する（ステップＳ１２３）。制御フローグラフ構築処理では、分岐元アドレスから分岐先アドレスへのエッジを制御フローグラフに追加する（ステップＳ１２４）。制御フローグラフ構築処理では、ＶＭブランチトレースの全てのエントリを処理したか否かを判定する（ステップＳ１２５）。

　制御フローグラフ構築処理では、ＶＭブランチトレースの全てのエントリを処理していない場合（ステップＳ１２５：Ｎｏ）、ＶＭ実行トレースの次のエントリを取り出す（ステップＳ１２６）。そして、制御フローグラフ構築処理では、ステップＳ１２３に戻り、次のエントリについて、分岐先アドレスを起点とする基本ブロックをノードとして制御フローグラフに追加する。

　制御フローグラフ構築処理では、ＶＭブランチトレースの全てのエントリを処理した場合（ステップＳ１２５：Ｙｅｓ）、構築した制御フローグラフを出力する（ステップＳ１２７）。

［基本ブロックスキップ処理］
　図２６は、基本ブロックスキップ処理の処理手順を示すフローチャートである。基本ブロックスキップ処理では、制御フローグラフ構築処理において構築された制御フローグラフを入力として受け取る（ステップＳ１３１）。

　基本ブロックスキップ処理では、ＶＰＣが現在（例外発生時）に指しているノードを確認する（ステップＳ１３２）。基本ブロックスキップ処理では、現在指しているノードからエッジを辿り、次のノードを取り出す（ステップＳ１３３）。

　基本ブロックスキップ処理では、次のノードが複数存在するか否かを判定する（ステップＳ１３４）。基本ブロックスキップ処理では、次のノードが複数存在する場合（ステップＳ１３４：Ｙｅｓ）、一つのノードを次のノードとして選択し、他のノードは次回実行時に選択する対象とする（ステップＳ１３５）。次のノードに対する選択ルールは、予め設定される。

　基本ブロックスキップ処理では、次のノードが複数存在しない場合（ステップＳ１３４：Ｎｏ）、または、ステップＳ１３５処理終了後、ＶＰＣの値を、次のノードの先頭を指すように変更する（ステップＳ１３６）。

［例外ハンドラ挿入処理］
　図１５に示す例外ハンドラ挿入処理の流れについて説明する。図２７は、図１５に示す例外ハンドラ挿入処理の処理手順を示すフローチャートである。

　例外ハンドラ挿入部１２３２は、解析対象のスクリプトを入力として受け取る（ステップＳ１４１）。例外ハンドラ挿入部１２３２は、解析対象のスクリプトを所定の方法で解析し、エントリーポイントを取り出す（ステップＳ１４２）。

　例外ハンドラ挿入部１２３２は、エントリーポイントを一つ取り出す（ステップＳ１４３）。例外ハンドラ挿入部１２３２は、エントリーポイント以降のコードでの例外を捕捉できるようにして例外ハンドラのコード（例えば、図１参照）を追加する（ステップＳ１４４）。

　例外ハンドラ挿入部１２３２は、全てのエントリーポイントに例外ハンドラを追加したか否かを判定する（ステップＳ１４５）。全てのエントリーポイントに例外ハンドラを追加していない場合（ステップＳ１４５：Ｎｏ）、例外ハンドラ挿入部１２３２は、次のエントリーポイントを取り出し（ステップＳ１４６）、ステップＳ１４４に進んで、例外ハンドラのコードを追加する。

　例外ハンドラ挿入部１２３２は、全てのエントリーポイントに例外ハンドラを追加した場合（ステップＳ１４５：Ｙｅｓ）、処理を終了する。

［実施の形態の効果］
　このように、実施の形態に係る解析機能付与装置１０は、スクリプトエンジンのバイナリを監視しながらテストスクリプトを実行し、ブランチトレースとメモリアクセストレースを実行トレースとして取得する。解析機能付与装置１０は、その実行トレースに基づいて仮想機械を解析し、フックポイント、タップポイント、ＶＰＣ、ＶＭ命令境界、ディスパッチャのアーキテクチャ情報を取得する。さらに、解析機能付与装置１０は、テストスクリプトを実行してＶＭ実行トレースを取得し、そのＶＭ実行トレースを用いて命令セットアーキテクチャを解析して分岐ＶＭ命令をアーキテクチャ情報として取得する。

　そして、解析機能付与装置１０は、得られたアーキテクチャ情報を基に、スクリプトエンジンのフックポイントに、例外が発生した場合には、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して、例外処理機能を含む解析機能を付与する。

　具体的には、解析機能付与装置１０では、解析対象のスクリプトに、例外の発生を捕捉した場合に、ＶＭ領域に強制的に処理を移す例外ハンドラを挿入することで例外処理機能を付与する。解析機能付与装置１０では、ＶＭ領域において、ＶＰＣの指す先を、例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックハンドラを用いて、フックを施す。これによって、解析機能付与装置１０は、例外の発生した基本ブロックをスキップすることで、例外による実行の停止を抑制する。

　これによって、解析機能付与装置１０は、バイナリのみしか手に入らないプロプライエタリなスクリプトエンジンに対しても、実行トレース及びＶＭ実行トレースの取得に基づく解析により、各種アーキテクチャ情報を検出し、人手でのリバースエンジニアリングを要することなく、例外処理機能の付与を実現できる。

　また、解析機能付与装置１０では、多様なスクリプトエンジンに対して、テストスクリプトさえ用意すれば自動で例外処理機能を付与できるため、個別の設計や実装を要することなく、例外処理機能の付与を実現できる。

　上述したように、解析機能付与装置１０は、多種多様なスクリプト言語で記述される悪性スクリプトの挙動の解析に有用であり、解析の途上で例外によって実行が停止してしまう悪性スクリプトに対して、その影響を受けずに、挙動を解析することに適している。このため、解析機能付与装置１０を用いて、様々なスクリプトエンジンに例外処理機能を付与することで、例外があった場合であっても、例外による実行の停止を抑制しながら、悪性スクリプトの挙動を解析できるため、検知などの対策に生かすことが可能である。

　なお、解析機能付与装置１０は、実行経路の強制によるマルチパス実行においても同様に、例外を捕捉し、意図しない実行の停止を防ぎつつ解析を継続することが可能である。

［実施形態のシステム構成について］
　図３に示す解析機能付与装置１０の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、解析機能付与装置１０の機能の分散及び統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。

　また、解析機能付与装置１０においておこなわれる各処理は、全部または任意の一部が、ＣＰＵ及びＣＰＵにより解析実行されるプログラムにて実現されてもよい。また、解析機能付与装置１０においておこなわれる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。

　また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。

［プログラム］
　図２８は、プログラムが実行されることにより、解析機能付与装置１０が実現されるコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、解析機能付与装置１０の各処理を規定するプログラムは、コンピュータ１０００により実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、解析機能付与装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等はすべて本発明の範疇に含まれる。

　１０　解析機能付与装置
　１１　入力部
　１２　制御部
　１３　記憶部
　１４　出力部
　１２１　仮想機械解析部
　１２２　命令セットアーキテクチャ解析部
　１２３　機能付与部
　１３１　実行トレースデータベース（ＤＢ）
　１３２　アーキテクチャ情報ＤＢ
　１３３　ＶＭ実行トレースＤＢ
　１２１１　実行トレース取得部
　１２１２　フック・タップポイント検出部
　１２１３　ＶＭ命令境界検出部
　１２１４　仮想プログラムカウンタ検出部
　１２１５　ディスパッチャ検出部
　１２２１　ＶＭ実行トレース取得部
　１２２２　分岐ＶＭ命令検出部
　１２３１　フック挿入部
　１２３２　例外ハンドラ挿入部

Claims

　解析機能付与装置が実行する解析機能付与方法であって、
　スクリプトエンジンの仮想機械を解析し、フックを施して解析用コードを挿入する箇所であるフックポイント、及び、次に実行される前記仮想機械の命令を指し示す変数である仮想プログラムカウンタを取得する第１の解析工程と、
　前記仮想機械の命令の体系である命令セットアーキテクチャを解析して、分岐を発生させる仮想機械命令である分岐仮想機械命令を取得する第２の解析工程と、
　前記第１の解析工程及び前記第２の解析工程における解析によって得られたアーキテクチャ情報である、前記仮想プログラムカウンタ及び前記分岐仮想機械命令に基づいて、前記スクリプトエンジンの前記フックポイントに、例外が発生した場合には、前記仮想プログラムカウンタの指す先を、前記例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して解析機能を付与する付与工程と、
　を含んだことを特徴とする解析機能付与方法。
　前記付与工程は、
　解析対象のスクリプトに、例外の発生を捕捉した場合に、仮想機械領域に処理を移す機能を有する例外ハンドラを挿入する第１の挿入工程と、
　前記スクリプトエンジンの前記フックポイントに、前記仮想機械領域において、前記仮想プログラムカウンタの指す先を、前記例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックハンドラを用いてフックを挿入する第２の挿入工程と、
　を含んだことを特徴とする請求項１に記載の解析機能付与方法。
　前記第２の解析工程は、
　前記仮想機械において実行された実行トレースである仮想機械実行トレースであって、識別子として仮想機械オペコードが仮想的に割り振られ、実行された仮想機械命令ハンドラのポインタと前記仮想プログラムカウンタとを記録した仮想機械実行トレースを取得する第１の取得工程と、
　前記仮想機械実行トレースの仮想機械オペコードごとの仮想プログラムカウンタの変化量のばらつきによって、前記分岐仮想機械命令を検出する第１の検出工程と、
　を含み、
　前記フックハンドラは、
　前記第１の検出工程によって検出された前記分岐仮想機械命令の一覧を参照し、前記仮想機械実行トレースから分岐仮想機械命令を検出し、該検出した分岐仮想機械命令の実行前後の前記仮想プログラムカウンタを対応付けた仮想機械ブランチトレースを構築する第１の処理と、
　前記仮想機械ブランチトレースを用いて、前記基本ブロックをノードとし、前記仮想機械ブランチトレースの分岐をエッジとした制御フローグラフを構築する第２の処理と、
　前記例外が発生した場合に、前記例外が前記制御フローグラフのどの箇所に該当するかを判別し、前記仮想プログラムカウンタの指す先を、前記例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する第３の処理と、
　を含むことを特徴とする請求項２に記載の解析機能付与方法。
　前記第１の解析工程は、
　実行時の条件を変えて複数の実行トレースを取得する第２の取得工程と、
　前記実行トレースを解析し、前記フックポイントを検出する第２の検出工程と、
　前記実行トレースをクラスタリングして、各仮想機械命令の境界を検出する第３の検出工程と、
　メモリの読み込み回数に着目した差分実行解析と前記第３の検出工程において検出された各仮想機械命令の境界とを用いて前記複数の実行トレースを解析し、前記仮想プログラムカウンタを検出する第４の検出工程と、
　前記第１の検出工程において検出された各仮想命令の境界を基に、スクリプトエンジンのバイナリを解析し、ディスパッチャを検出する第５の検出工程と、
　を含んだことを特徴とする請求項３に記載の解析機能付与方法。
　前記第１の解析工程及び前記第２の解析工程は、テスト用のスクリプトを用いた解析を実施することを特徴とする請求項１～４のいずれか一つに記載の解析機能付与方法。
　スクリプトエンジンの仮想機械を解析し、フックを施して解析用コードを挿入する箇所であるフックポイント、及び、次に実行される前記仮想機械の命令を指し示す変数である仮想プログラムカウンタを取得する第１の解析部と、
　前記仮想機械の命令の体系である命令セットアーキテクチャを解析して、分岐を発生させる仮想機械命令である分岐仮想機械命令を取得する第２の解析部と、
　前記第１の解析部及び前記第２の解析部による解析によって得られたアーキテクチャ情報である、前記仮想プログラムカウンタ及び前記分岐仮想機械命令に基づいて、前記スクリプトエンジンの前記フックポイントに、例外が発生した場合には、前記仮想プログラムカウンタの指す先を、前記例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して解析機能を付与する付与部と、
　を有することを特徴とする解析機能付与装置。
　スクリプトエンジンの仮想機械を解析し、フックを施して解析用コードを挿入する箇所であるフックポイント、及び、次に実行される前記仮想機械の命令を指し示す変数である仮想プログラムカウンタを取得する第１の解析ステップと、
　前記仮想機械の命令の体系である命令セットアーキテクチャを解析して、分岐を発生させる仮想機械命令である分岐仮想機械命令を取得する第２の解析ステップと、
　前記第１の解析ステップ及び前記第２の解析ステップにおける解析によって得られたアーキテクチャ情報である、前記仮想プログラムカウンタ及び前記分岐仮想機械命令に基づいて、前記スクリプトエンジンの前記フックポイントに、例外が発生した場合には、前記仮想プログラムカウンタの指す先を、前記例外が発生した基本ブロックの直後の基本ブロックの先頭に変更する処理を含むフックを施して解析機能を付与する付与ステップと、
　をコンピュータに実行させるための解析機能付与プログラム。