SEH链和展开操作

最新推荐文章于 2024-06-27 18:26:51 发布
最新推荐文章于 2024-06-27 18:26:51 发布
阅读量3.7k 收藏 5
点赞数 1
分类专栏: win32 文章标签: exception null windows include 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingghost/article/details/7215512
版权


每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH链

 

当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH链,这些SEH链中指定了多个回调函数,除他们以外,系统中可能还会存在一个全局性的筛选器,再者如果进程被调试,调试器进程也相当于一个异常处理的程序存在.那么当一个异常发生的时候,系统究竟该听谁的呢?

 

在这种情况下,系统按一定的步骤选择一个回调函数并执行他,如果这个回调函数可以执行这个异常,那么其他的回调函数都不会执行,否则系统执行下一个回调函数

(1).系统查看产生异常的进程是否正在被调试,如果正在被调试的话,那么向调试器发送EXCEPTION_DEBUG_EVENT事件

(2).如果进程没有被调试或者调试器不去处理这个异常,那么系统 检查异常所处的线程,并在这个线程环境中查看fs:[0]来确定是否安装有SEH异常处理回调函数,如果有则调用它.

(3).回调函数尝试处理这个异常,如果可以正确处理的话,则修正错误并将返回值设置为ExceptionContinueExecution,这时系统将结束整个查找过程

(4).如果回调函数返回ExceptionContinueSearch,告知系统他无法处理这个异常,那么系统将根据SEH链中的prev字段得到上一个回调函数地址,并重复步骤(3)过程,直到链中某个回调函数返回ExceptionContinueExecution为止,查找结束 

(5).如果到了SEH链的尾部,却没有一个回调函数愿意处理这个异常,那么系统将再次检测进程是否正在被调试,如果被调试的话,则再次通知调试器

(6).如果调试器还是不去处理这个异常或者进程没有被调试 ,那么系统检查有没有安装筛选器回调函数,如果有,则去调用他,筛选器回调函数返回的时候,系统默认的异常处理程序根据这个返回值将做出相应的动作

(7).如果没有安装筛选器回调函数,系统直接 调用默认的异常处理程序终止进程

一个 比较形象的比喻就是:

Windows拿着一份异常处理的活挨个问每个回调函数
"你干不干" ,"不干","你呢","我也不干"... ... 当问到某一个的时候,
他说:"那我来干好了!"那么Windows就不会在去问其他人了,于是相安无事

有时,问完一圈后,谁都不愿意干(当然是干不了)Windows大怒:"谁都不干,看我炒了你们!"于是就把整个进程终止掉,所有的异常处理回调函数全部完蛋啦
(筛选器-全局的-进程的  SEH-线程的)

 完整的异常处理回调函数

<span style="font-family:Microsoft YaHei;font-size:13px;">_Handler1	proc	C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext
		;C调用方式-调用者自己平衡堆栈
		.if	(异常代码 == 0c0000027h) || (异常标志 & EXCEPTION_UNWINDING) || (异常标志 & EXCEPTION_UNWINDING_FOR_EXIT)
			;进行资源释放等扫尾工作
			mov	eax,ExceptionContinueSearch
		.elseif 异常代码 == 可以处理的异常代码
			;处理异常,对CONTEXT进行修正
			;进行展开操作
			mov	eax,ExceptionContinueExecution
		.else
			;其他无法处理的异常代码
			mov eax,ExceptionContinueSearch
		.endif
		ret

_Handler1	endp</span>


 

二.展开操作(Unwinding)

如果把第一个SEH处理的函数的返回值改成ExceptionContinueSearch这个时候函数将会进行循环查找

这个时候回调函数应该进行一些扫尾工作,因为其将被卸载

注册 Unwinding操作可以使用RtlUnwinding函数

invoke RtlUnwinding,lpLastStackFrame,lpCodeLabel,lpExceptionRecord,dwRet

(1).lpLastStackFrame:这个参数设置为NULL,那么他将对所有的SEH链进行展开操作,这时所有的回调函数参数中的异常标志在带有EXCEPTION_UNWINDING的同时也带有EXCEPTION_UNWINDING_FOR_EXIT标志位,这种方式称为展开退出

指定为当前回调函数的EXCEPTION_REGISTRATION结构的地址的话,表示对当前回调函数之后的所有其他回调函数进行展开操作,这样RtlUnwinding函数调用的每一个回调函数时,异常标记位都会带有EXCEPTION_UNWINDING标记位

(2).lpCodeLabel参数指明函数将要返回的位置,如果位NULL,那么RtlUnwinding函数将返回到其后面的一条指令,否则函数直接返回到lpCodeLabel指定的位置

(3).lpExceptionRecord指定一个EXCEPTION_RECORD结构,这个结构将在调用的时候传给每一个回调函数

(4).dwRet参数一般不被使用,它可以指明为NULL

 

使用RtlUnwinding函数时要注意的是:这个函数并不像其他API函数一样保存esi,edi和ebx寄存器的值,在函数返回时候这些寄存器的值可能会改变,所以如果程序用到这些寄存器的话,必须手动去保存和恢复他们

 

 

<span style="font-family:Microsoft YaHei;font-size:13px;">		.386
		.model flat,stdcall
		option casemap:none
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; Include 文件定义
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include		windows.inc
include		user32.inc
includelib	user32.lib
include		kernel32.inc
includelib	kernel32.lib

L macro var:VARARG
	LOCAL @lbl
	.const
	@lbl db var,0
	.code
	exitm <offset @lbl>
endm
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 数据段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.data
szMsg1		db	'这是外层异常处理程序(将处理异常)',0dh,0ah
		db	'异常发生位置:%08X,异常代码:%08X,标志:%08X',0
szMsg2		db	'这是内层异常处理程序(对异常不进行处理)',0dh,0ah
		db	'异常发生位置:%08X,异常代码:%08X,标志:%08X',0
szCaption	db	'提示信息',0
szBeforeUnwind	db	'现在将开始 Unwind,当前的 FS:[0] = %08X',0
szAfterUnwind	db	'Unwind 返回,当前的 FS:[0] = %08X',0
szSafe1		db	'回到了外层子程序的安全位置!',0
szSafe2		db	'回到了内层子程序的安全位置!',0
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 代码段
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		.code
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 外层错误 Handler,将处理异常
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Handler1	proc	C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext
		local	@szBuffer[256]:byte

		pushad
		mov	esi,_lpExceptionRecord
		mov	edi,_lpContext
		assume	esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT,fs:nothing
		invoke	wsprintf,addr @szBuffer,addr szMsg1,\
			[edi].regEip,[esi].ExceptionCode,[esi].ExceptionFlags
		invoke	MessageBox,NULL,addr @szBuffer,NULL,MB_OK
;********************************************************************
; 将 EIP 指向安全的位置并恢复堆栈
;********************************************************************
		mov	eax,_lpSEH
		push	[eax + 8]
		pop	[edi].regEip
		push	_lpSEH
		pop	[edi].regEsp
;********************************************************************
; 对前面的 Handler 进行 Unwind 操作
;********************************************************************
		invoke	wsprintf,addr @szBuffer,addr szBeforeUnwind,dword ptr fs:[0]
		invoke	MessageBox,NULL,addr @szBuffer,addr szCaption,MB_OK

		invoke	RtlUnwind,_lpSEH,NULL,NULL,NULL

		invoke	wsprintf,addr @szBuffer,addr szAfterUnwind,dword ptr fs:[0]
		invoke	MessageBox,NULL,addr @szBuffer,addr szCaption,MB_OK
;********************************************************************
		assume	esi:nothing,edi:nothing
		popad
		mov	eax,ExceptionContinueExecution
		ret

_Handler1	endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
; 内层错误 Handler,不处理异常
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Handler2	proc	C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext
		local	@szBuffer[256]:byte

		pushad
		mov	esi,_lpExceptionRecord
		mov	edi,_lpContext
		assume	esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT
		invoke	wsprintf,addr @szBuffer,addr szMsg2,\
			[edi].regEip,[esi].ExceptionCode,[esi].ExceptionFlags
		invoke	MessageBox,NULL,addr @szBuffer,NULL,MB_OK
		assume	esi:nothing,edi:nothing
		popad
		mov	eax,ExceptionContinueSearch
		ret

_Handler2	endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Test2		proc

		assume	fs:nothing
		push	offset _SafePlace
		push	offset _Handler2
		push	fs:[0]
		mov	fs:[0],esp
;********************************************************************
; 会引发异常的指令
;********************************************************************
		pushad
		xor	eax,eax
		mov	dword ptr [eax],0
		popad		;这一句将无法被执行
_SafePlace:
		invoke	MessageBox,NULL,L("回到了内层子程序的安全位置!"),L("提示信息"),MB_OK
		pop	fs:[0]
		add	esp,8
		ret

_Test2		endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
_Test1		proc

		assume	fs:nothing
		push	offset _SafePlace
		push	offset _Handler1
		push	fs:[0]
		mov	fs:[0],esp
		invoke	_Test2
_SafePlace:
		invoke	MessageBox,NULL,L("回到了外层子程序的安全位置!"),L("提示信息"),MB_OK
		pop	fs:[0]
		add	esp,8
		ret

_Test1		endp
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
start:
		invoke	_Test1
		invoke	ExitProcess,NULL
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
		end	start
</span>

 

 

 

 

 

SEH原理剖析
mslieng1011的博客
11-05 1528
用户层数据结构 TEB TEB 第一个字段是NtTib,NtTib的第一个字段ExceptionList是一个表的头结点的首 地址. 当产生异常,系统会通过FS:[0]找到这个表,依次调用处理异常. typedef struct _EXCEPTION_REGISTRATION_RECORD{ struct _EXCEPTION_REGISTRATION_RECORD* next; //
X64 SEH展开
nethm的专栏
12-08 2043
C++ 代码: #include "stdafx.h" #include ULONG WINAPI FilterFunc(DWORD dwExceptionCode) { return (dwExceptionCode == STATUS_INTEGER_DIVIDE_BY_ZERO) ? EXCEPTION_EXECUTE_HANDLER : EXCEPTION_CONTINUE_SE
关于SEH局部展开的一点思考
cuagain的专栏
12-26 884
最近读了Matt Pietrek的《A Crash Course on the Depths of Win32 Structured Exception Handling》,有如醍醐灌顶,尤其是编译器级的SEH,如果是SEH的初学者,推荐读一下这篇文章,不要先去看《windows核心编程》的异常处理章节,那样只会越搞越乱。如果把SEH_SCOPETABLE这两条搞清了基本就OK了,至于细
Windows SEH中的局部展开与全局展开
08-11 2364
<br />经过阅读windows核心编程一书,对SEH中的局部展开全局展开终于有了一个比较清晰的概念。<br />先说说__finally块的语义,__finally块语义就是只要是指令流将要流出其对应的__try块时,则__finally块中的代码将得到执行。那么所谓展开就是保证__finally块中的代码得到执行。下面详细解释下局部展开全局展开<br />。<br /> <br />局部展开就是指某个函数中的__try块中的代码因为执行了return,break,goto,continue等指令使
SEH 机制探索2 --- 构建 SEH
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 894
SEH 机制探索2 --- 构建 SEH 下面是异常处理程序的语法结构: __try  {     // 受保护的代码 } __except(exception filter) {     // 异常处理程序 } __try{} 里的代码是受保护的,编译器会为 __try{} 块构建 SEH ,__except(){} 块是根据括号里的
SEH 进阶(1)
商少
04-23 1689
SHE进阶 了解了上一篇的文章之后,我们写一个简单的例子来验证我们的想法,并学习新的知识。 不同的编译器提供的增强版本SHE 可能不同,但是它们都是基于windows 底层SHE 的。我们使用Win10 1703 + VS2010 生成X86 Rlease 程序来验证已经学过的知识,后面使用XP x86 7600 来学习编译器版本的SHE。 编译如下程序 #define WIN32_LEA
mingw-x86_64-13.2.0-release-posix-seh-ucrt-rt_v11-rev1.7z.zip
12-20
此外,“posix”seh”是MinGW特有的特性,其中POSIX代表可移植操作系统接口,而SEH则是结构化异常处理。这个版本还特别强调了UCRT,即Universal C Runtime,这可能意味着它包含了用于Windows应用的通用运行时...
mingw-x86_64-11.2.0-release-posix-seh-rt_v9-rev0.7z.zip
12-20
在x86架构下,MinGW的早期版本主要使用的是较传统的异常处理方式(即通过栈帧的展开恢复处理异常),而SEH的集成则意味着开发者可以利用Windows平台的异常处理机制,提高程序的稳定性错误处理能力。 mingw-x86_...
x64的seh
Returns' Station
07-24 3286
PatchGuard与异常处理密切相关,所以先看看x64的SEH 关于x86中内核如何捕获异常,分发异常,可以看http://blog.csdn.net/shevacoming/article/details/7580350 上面那篇没有跟进分析RtlDispatchException,这里跟进以复习x86 seh的结构,也看经典的这一篇 http://bbs.pediy.com/
C++程序运行必备:libstdc++-6.dlllibgcc_s_seh-1.dll
运行时库提供了一系列函数来支持程序的运行,包括异常处理、堆栈展开、浮点操作等。"seh"代表Structured Exception Handling,是一种用于处理程序中运行时出现的异常的机制。如果缺少这个库文件,程序在遇到异常时...
SEH stack 结构探索(1)--- 从 SEH 的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2337
SEH stack 结构探索(1)--- 从 SEH 的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
反调试—利用SEH
王二娃的生活的博客
08-03 2709
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
【逆向工程核心原理:SEH
whl0071的专栏
06-27 389
【逆向工程核心原理:SEH
SEH学习笔记一
weixin_30443747的博客
12-15 211
SEH(structured exception handling),结构化异常处理。在windows本身开发中运用的非常广泛,而且MS并没有独享,并且通过vs为开发者提供了方便几个关键字来支持。__try, __exception,__finally。但是讲解的却非常少。本文希望能够给大家抛砖引玉一下。 http://www.microsoft.com/msj/0197/exc...
SEH的介绍及实战
热门推荐
For Geek
05-08 1万+
根据我们上节的异常讲解中,我们说过了SEH(Structured Exception Handler)是在无调试器接手的情况下,系统会遍历SE,然后寻找相应的SEH函数来处理异常。 首先稍微复习下我们的TEB kd> dt _teb ntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : ...
(笔记)逆向工程核心原理——SEH
qq_30101409的博客
12-19 659
SEH异常机制学习记录
SEH异常处理学习总结
ToBeroOTer的专栏
03-02 4400
前一段时间,在看异常处理一章内容的时候,发现这一部分还真的挺有尿水:)所以上网搜了一下有关内容,呦嗬,还挺丰富的。当然有些自己还是看不懂,现在就将这些宝贝拿出来跟大家共享一下。首先我们看一下使用异常处理的几种情况:A. 用来处理非致命的错误B. 对API函数的参数合法性的检验(假设参数都是合法的,只有遇到异常的时候进行合法性检验)C. 处理致命错误(退出时最好的选择,但是有的时候可以用异常处理函数
[原创]windows-SEH详解
whl0071的专栏
02-25 4369
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到) 1.SEH SEHwindows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。 2.OS异常处理的办法 2.1正常运行时候的异常处理方法 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...
sjljseh
最新发布
03-08
### Sjlj Seh 的含义及用途 #### 结构化异常处理 (SEH) 结构化异常处理(Structured Exception Handling, SEH)是 Windows 操作系统提供的一种机制,用于捕获并响应程序运行期间发生的错误条件。这种机制允许开发者编写能够优雅地处理各种类型的异常情况的代码[^4]。 在 C/C++ 编程语言中实现 SEH 主要通过 `__try`、`__except` `__finally` 关键字来完成。当发生未预见的情况时,比如除零错误或者非法内存访问,操作系统会触发一个异常事件,并按照预定义的方式寻找最近的一个可以处理该异常的位置来进行相应的恢复操作[^5]。 ```cpp #include <windows.h> #include <stdio.h> int main() { __try { // 可能引发异常的代码段 int a = 0; int b = 1 / a; // 将导致除以零异常 } __except(EXCEPTION_EXECUTE_HANDLER) { printf("Caught an exception\n"); } return 0; } ``` #### Set Jump Long Jump (SJLJ) Set Jump Long Jump(简称 SJLJ),也称为“设置跳跃/远程跳跃”,是一种较早形式的过程间控制转移方法,在某些编程环境中用来模拟 try/catch 或者类似的异常捕捉功能。它依赖于两个标准库函数:`setjmp()` `longjmp()` 来保存当前执行状态以及回溯到之前的状态[^6]。 与 SEH 不同的是,SJLJ 并不是由编译器自动管理堆栈帧信息,而是手动记录返回点并通过显式的调用方式来回退至这些位置。这种方式虽然简单直观但在现代多线程或多处理器架构下效率较低且容易出现问题[^7]。 ```c #include <stdio.h> #include <setjmp.h> jmp_buf env; void function_that_may_fail(void){ if(/* some condition */) longjmp(env, 1); /* 跳转 */ } int main(){ if(setjmp(env)==0){ function_that_may_fail(); }else{ puts("Function failed and we jumped back!"); } return 0; } ``` sjlj seh 是两种不同的异常处理机制,前者更底层且跨平台兼容性较好,后者则是特定于 Windows 系统下的高级特性。对于大多数应用程序开发而言,推荐使用更高层次的语言内置异常处理设施而非直接操纵 sjlj 或 seh[^8]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值