利用SEH进行代码混淆

最新推荐文章于 2022-05-17 17:09:26 发布
最新推荐文章于 2022-05-17 17:09:26 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 调试 保护 win 文章标签: windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/47137457
版权
调试 同时被 3 个专栏收录
122 篇文章 5 订阅
订阅专栏
win
63 篇文章 4 订阅
订阅专栏
保护
7 篇文章 1 订阅
订阅专栏

    这几天在重看SEH机制,收获颇丰。随手写了一个用SEH进行跳转的代码贴于此处以作纪念。

    当发生异常,并捕捉了异常,在OS的异常处理机制下,会进入异常过滤函数。过滤函数可以返回EXCEPTION_EXECUTE_HANDLER/EXCEPTION_CONTINUE_SEARCH/EXCEPTION_CONTINUE_EXECUTION三者之一,以此决定OS的后续操作。如果返回EXCEPTION_CONTINUE_EXECUTION,OS认为异常已解决,可以从发生异常的指令处继续运行。一般这是用于解决访问内存出错的情况,比如:

int* ptr=NULL;

int ex(EXCEPTION_POINTERS* ExceptionInfo)
{
	ExceptionInfo->ContextRecord->Eax=(DWORD)malloc(sizeof(int));
	return EXCEPTION_CONTINUE_EXECUTION;
}

int main()
{
	__try
	{
		*ptr = 0x00;
//004010AC   mov         eax,[ptr (00422780)]
//004010B1   mov         dword ptr [eax],0
                MessageBox(NULL,"","",MB_OK);
	}
	__except(ex(GetExceptionInformation()))
	{

	}
}
        当执行*ptr=0x00时,由于ptr指向空,因此mov dword ptr [eax],0这句会引起异常。为了让代码继续往下执行弹出对话框,只要让eax指向有效内存即可。那如何让eax指向有效地址?只要给eax创建堆内存即可,因此可以在异常过滤函数中开辟空间。按windows的设计,异常发生时OS会把压入在堆栈中寄存器值保存到线程环境中(通过KiTrapFrameToContext);当从异常返回时,用保存的线程环境恢复寄存器继续执行(通过KiContextToTrapFrame)。那么所谓的线程环境在哪?代码中ExceptionInfo->ContextRecord即为所求。因此,我在过滤函数中修改Context->Eax,使之指向有效内存,实现了修复异常继续指令流的目的。其实,这整个流程类似于SetThreadContext/GetThreadContext。

        另外,值得一提的是,当异常发生时,如果异常类型是访存失败,错误码是0xC0000005的情况下,

    ExceptionInfo->ExceptionRecord->NumberParameters;

    ExceptionInfo->ExceptionRecord->ExceptionAddress;
    ExceptionInfo->ExceptionRecord->ExceptionInformation[1];

    这几个域包含了重要信息。

    来看个常见而又蛋痛的对话框:

   

    当你happy的玩着游戏时,跳出这个,是不是都毁了?如果仔细看出错信息上面给出了如下信息:出错的指令的地址-0x6F001080,出错的原因-0xC0000005(访问无效内存),无效内存的地址0xE2AF524C。这些信息,进入内核态以后可以轻松获得,但是用户态有没有办法获得?比如想做一个用户态的调试器?当然有,上面提到的3个域依次对应:异常时ExceptionInformation数组的元素数量、出错的指令的地址、访问无效内存的地址。

    有了这些辅助信息后,开始讨论正题。其实,这里已经呼之欲出了:代码混淆一般就是通过各种手段混乱代码执行流程,放在这篇文章中,只要修改EXCEPTION_CONTINUE_EXECUTION返回时的地址即可(注意我的用词,是EXCEPTION_CONTINUE_EXECUTION的返回地址,不是异常的返回地址,如果没记错对于vc++6.0异常的返回地址应该是_except_handle3),进一步说,就是触发异常并保存线程环境时Eip的值。

    罗列一下代码:代码执行流程为1)-5)

#include <windows.h>
#include <stdio.h>

int* ptr;
//4)Msg被调用
void Msg(int a,int b)
{
	int c = a+b;
	printf("%d\n",c);
	MessageBox(NULL,"","",MB_OK);
	__asm
	{
		mov eax,c
	}
}

int ex(EXCEPTION_POINTERS* ExceptionInfo)
{
	//3)准备跳转到Msg中
	//Msg是带参数函数,参数保存在异常发生前的堆栈上,即Esp指向
	//此时ExceptionInfo->ContextRecord->Eip[0]指向Lab1代表的地址
	//ExceptionInfo->ContextRecord->Eip[4]=0x01 ExceptionInfo->ContextRecord->Eip[8]=0x02
	ExceptionInfo->ContextRecord->Eip = (DWORD)Msg;
	return EXCEPTION_CONTINUE_EXECUTION;
}

int main()
{
	int i=0;
	ptr = (int*)&main;
	__try
	{
		/*
		原本向jmp Lab2,结果提示"illegal jump into __try scope",就这么代替一下
		*/
		if(1)
			goto Lab2;
Lab1:
		//5)从Msg返回后 指令流进入Lab1
		i++;
		printf("%d\n",i);
		ExitProcess(0);
Lab2:
		__asm
		{
			//1)制造Msg函数的参数及返回地址.模拟c调用函数的过程.异常触发后要跳入Msg执行
			//对于Msg函数,他根本不知道是谁调用他的,他只关心参数是否正确
			push 0x02;
			push 0x01;
			lea eax,Lab1;
			push eax;
		}
		//2)触发异常,给与Lab1中真正需要执行的代码于机会
		(*ptr) = 0x01;
		
	}
	__except(ex(GetExceptionInformation()))
	{}
	return 0;
}


Eugene800
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SEH源码赏析之C篇
05-16 2153
1.起因    C++程序员对try,catch,throw都应该很熟悉,能知道VC怎么实现它的人就不多了,不过网络世界使很多人知道了它与SEH (structured exception      handling)有密切关系,我也不例外,也是在若干年前从网络知道了SEH,并且大致也知道 SEH的流程.但是和多数人一样在我的实践也很少直接使用SEH,对SEH也就仅限于网络上一些文章的介绍.曾经在
SEH系列:代码文件2
05-06
SEH系列:代码文件2
SEH系列:代码文件3
05-06
SEH系列:代码文件3
让程序在崩溃时体面的退出之SEH+Dump文件
Tony的专栏
08-03 434
在我上篇文章《让程序在崩溃时体面的退出之SEH》中讲解了SEH中try/except可以捕捉异常,避免程序的崩溃,并且可以在处理完异常之后,还能决定进该进程如何执行。对于应用程序的使用者来说,并不知道异常的发生。但是对于软件的开发者来说,虽然避免了程序的崩溃,可是这样可以让程序崩
C++配置
weixin_60083428的博客
05-17 895
C++环境配置
加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理
vbsourcecode的专栏
11-02 1885
标 题: 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 作 者: ytcswb 时 间: 2005-02-01,16:40:24 链 接: http://bbs.pediy.com/showthread.php?t=10651 看学加密与解密二版学习笔记(2) - SEH 结构化异常处理 [ 工 具 ] flyod1.10 [ 目 的 ] 学习SEH
MinGW gcc下载链接及sjlj、dwarf、seh异同以及gcc安装
Your Dream Started
12-23 1万+
前言:MinGW gcc是Windows版本的gcc编译器,下载后,在Windows下增加对应的环境变量就可以在命令行愉快地使用gcc编译出a.exe,一如Linux下的a.out,可以直接执行,并在命令行输出结果,不再饱受Windows的IDE折磨。 正文: 一、MinGW软件下载地址: 32位下载链接:https://sourceforge.net/projects/mingw-w64/files/Toolchains%20targetting%20Win32/Personal%20Builds/
gcc/g++命令使用及编译原理二
muchongxia
08-06 591
一、概述 对于编译原理,如果要系统的学习的话,知识点多的完全可以写成一本书,推荐大家可以去阅读一下《编译原理》这本书,可以全面深入的学习编译原理,很经典。接下来的文章我仅仅对GCC/G++编译原理写一些记录。 其中gcc命令是对c语言文件的编译,g++命令是对c++文件的编译,其命令的原理其实是一样的。 二、编译流程 gcc命令编译一般分为四个步骤及调用的命令: 预处理(preproce...
关于gcc汇编过程的一些事(一)
SVRach的博客
04-25 1855
一、前言   众所周知,C语言中“编译”这个词其实已经被泛化了。很多时候,该词直接取代了整个从c文件到到可执行文件的流程,但为了笔者叙述方便,本人有必要在此先做一些说明。   C语言的整套流程,准确的说是预处理、编译、汇编以及链接四个过程。预处理完成头文件展开与宏替换,得到i文件;编译将i文件转换为汇编指令——s文件;汇编将s文件转换为o文件;链接将多个o文件联合得到最终的可执行文件。详细内容网上其余文章已有详细说明,此处不再赘述。   此外,由于处理器的发展,现在32、64位机C语言的int和long都是
SEH系列:代码文件1
05-06
SEH系列:代码文件1
易语言SEH异常捕获模块.e
07-18
支持易语言程序代码自设SEH捕获异常
Windows_SEH.zip_SEH
09-23
介绍windows结构化异常的文章,内容很全, 值得一读。
SEH X64(2)
商少
05-26 1462
上一篇文章,我们介绍X64 SEH 操作所需要的操作,与X86相比,它是静态的并且这些静态信息足够用于展开操作,下面我们来分析展开操作相关的函数。 首先来看异常的分发函数。这里的调用流程其实跟X86 SEH 类似,KiDispatchException--->RtlDispatchException---->RtlpExecuteHadnlerForException。KiDispatchExc
代码保护技术:控制流混淆
hamster的博客
11-22 6771
文章大部分内容来源自《软件加密与解密》,本人新手小白只负责学习和整理。 代码混淆的目的是在不改变源程序的功能的同时让程序代码可读性大大降低,使其反编译成本超过通过反编译所带来的利益。根据Collberg等人将代码混淆分为布局混淆,数据混淆,控制流混淆和预防混淆,其中研究较为广泛的是控制流混淆,如控制流平展化算法和不透明谓词混淆等。 1. 控制流 控制流是程序在运行时指令(或陈述、子程序)...
结构化异常处理(SEH)在MSVC和MinGW上的使用
A.A的博客
05-10 2171
结构化异常处理(SEH)在MSVC和MinGW上的使用 SEH 即 Structured Exception Handling,结构化异常处理。是 M$ 在 Windows 下实现的一套异常处理机制,用于支持软件和硬件异常处理。SEH 作为 Windows 特有的机制,同时也是 Windows 溢出攻击中常见的利用的途径之一。 关于SEH的详细分析,请看Matt Pietrek的文章(原文是发...
SEH的介绍及实战
For Geek
05-08 9536
根据我们上节的异常讲解中,我们说过了SEH(Structured Exception Handler)是在无调试器接手的情况下,系统会遍历SE链,然后寻找相应的SEH函数来处理异常。 首先稍微复习下我们的TEB kd> dt _teb ntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : ...
vs2015自带混淆工具DotFuscator使用方法(超简单)
热门推荐
qq_42063091的博客
01-08 2万+
首先声明,混淆并不能防反编译工具,只能增加反编译出来的代码阅读难度(把方法和变量名变成无意义的声明如把students换成a,b等) 混淆前记得先备份下,以免混淆失败造成损失!!!!!! 步骤1:打开vs2015,工具-》选择PreEmptive Dotfuscator and Analytics,同意协议并打开 步骤2:选择 输入-》+符号,选择需要混淆的exe可执行文件 步...
windows核心编程学习笔记(八)结构化异常处理(Structured Exception Handling)
weixin_30521161的博客
03-04 83
首先要要知道,结构化异常处理(SEH)和C++提供的异常处理不相同。 一.Termination Handlers Termination Handlers使用很简单。在想使用SEH处理的地方使用 __try{/* [__leave;] */} __finally{/*[AbnormalTermination] */} 即可。 SEH保证,无论__try中的代码怎样退出...
简述使用SEH结构进行异常处 理的过程
最新发布
05-14
SEH(Structured Exception Handling,结构化异常处理)是Windows操作系统提供的一种异常处理机制,其主要用于处理在程序执行过程中出现的异常情况。 使用SEH结构进行异常处理的过程如下: 1. 在程序中使用__try和__except关键字进行异常处理的代码块的定义。 2. 当程序执行到__try代码块中的语句时,将会在堆栈上创建一个异常处理记录(Exception Registration Record,ERR),并将其链接到当前线程的ERR链表上。 3. 当程序执行到__try代码块中的语句时,如果发生了异常,那么系统会在当前线程的ERR链表中查找最近的一个ERR,然后转到其对应的__except代码块中执行。 4. 在__except代码块中,可以对发生的异常进行处理,并且可以通过GetExceptionCode函数获取异常码。 5. 如果在当前线程的ERR链表中没有找到匹配的ERR,那么异常将会继续向上抛出,直到被捕捉或者导致程序异常终止。 使用SEH结构进行异常处理的好处是,可以处理更加灵活的异常情况,并且可以在异常处理代码中获取更加详细的异常信息,从而更好地进行程序调试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值