Win10 X64 HOOK KiUserExceptionDispatcher

最新推荐文章于 2023-03-08 17:56:47 发布
最新推荐文章于 2023-03-08 17:56:47 发布
阅读量2.5k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A289672082/article/details/113481696
版权
本文介绍了如何在Windows 10 x64系统中使用HOOK技术修改KiUserExceptionDispatcher,实现自定义异常处理,并通过MinHook库实现在程序运行时捕获和处理异常。内容包括hook函数的编写、异常记录的处理以及VEH异常处理机制的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Win10 X64 HOOK KiUserExceptionDispatcher

HOOK.ASM

extrn NewKiUserExceptionDispatcher : proc 
extrn OrgKiUserExceptionDispatcher : proc  
extrn OldKiUserExceptionDispatcher : proc 
.data
.code


;hook 
public MyKiUserExceptionDispatcher

MyKiUserExceptionDispatcher PROC  
    mov   rcx, rsp 
    add  rcx,4F0h
    mov   rdx,rsp  
    call  NewKiUserExceptionDispatcher ;先经过我们自己的异常处理

    ;mov rax,[OldKiUserExceptionDispatcher]  ;这样跳转回去会异常 原因未知
    ;jmp rax 

    ;
    mov   rax, [OrgKiUserExceptionDispatcher] ;直接用原函数+偏移 跳到RtlDispatchException 这样可以
    mov   rax,[rax]
    add   rax ,1ch
    jmp   rax; RtlDispatchException
    ret
MyKiUserExceptionDispatcher ENDP

END

HOOKFUC.H

#pragma once
#include <windows.h>

typedef VOID(WINAPI* PtrKiUserExceptionDispatcher)();
namespace HookEmu {
   
	//extern "C" C形式导出
	extern "C" PtrKiUserExceptionDispatcher OrgKiUserExceptionDispatcher;
	extern "C" PtrKiUserExceptionDispatcher OldKiUserExceptionDispatcher;
	extern HMODULE hNtDll ;
	
}
 

namespace HookFunction {
   
	 extern VOID HookKi();

}

namespace KiuserExc
{
   
	extern "C" void MyKiUserExceptionDispatcher();//汇编导出
	extern "C" void   NewKiUserExceptionDispatcher(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT  Context);
}
namespace VEH_Tess
{
   
	extern LONG __stdcall VEHandler(
		EXCEPTION_POINTERS* ExceptionInfo
	);
	extern void InitVeh();
最低0.47元/天 解锁文章
A289672082
关注
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1396
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4387
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
Hook KiUserExceptionDispatcher参数指针错误的问题
SilenceNet的专栏
12-04 9620
跟了一个晚上,终于解决了大概要实现的是用这个函数替换ntdll中的KiUserExceptionDispatcher,实现方法如下:VOID NTAPI KiUserExceptionDispatcher(PEXCEPTION_RECORD pExcptRec,PCONTEXT pContext) { DWORD retValue; if (RtlDispatchException(pExcptRec,pContext)) { retValue=::ZwContinue( pContex
Windows异常分发函数---KiUserExceptionDispatcher
weixin_46246967的博客
07-04 515
Windows异常分发函数---KiUserExceptionDispatcher
当出现ntdll!KiUserExceptionDispatcher时,如何用windbg 定位正确堆栈
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 7409
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这时就需要通过其他方式获取产生异常时的正确堆栈 下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点 [cpp] view plainco
天野学院X64Hook封包拦截发送工具
最新发布
08-17
天野学院X64Hook封包拦截发送工具,可进行封包的拦截、发送、过滤等,针对X64游戏程序和安卓模拟器。无需代理软件、无需驱动。
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
x86架构通常使用JMP或CALL指令来跳转到Hook处理程序,而x64架构则更倾向于使用RIP相对寻址,因为x64指令集更倾向于减少绝对地址的使用。Inline Hookx64上需要考虑到更大的指令长度和寄存器使用的变化。 提供的...
易语言x64-hook模块源码+实列
07-30
1. **x64架构与Hook技术**:在64位(x64)操作系统环境下,程序处理和内存管理方式与32位(x86)有所不同,因此,传统的Hook技术在x64平台需要进行适应性调整。本资源提供的源码和实例针对x64架构,讲解如何在这一...
win10 X64 可用的钩子函数库
07-26
Win10 X64下的钩子函数库:MinHook详解》 在Windows操作系统中,API钩子(API Hook)是一种强大的技术,它允许开发者监控或修改其他应用程序对特定系统调用的处理方式。这对于调试、性能分析以及系统扩展等用途至...
Windows的HooK技术实现(支持X86/X64版本)
江海细流的专栏
10-03 3864
hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。 HOOK技术的基本原理 HOOK的基本原理 Hook技术的原理的:就是修改程序的运行时PC指针,让程序跳到我们指定的代码中运行,运行完我们的程序,程序PC指针又回到原来程序的下一条指令。简而言之:就篡改程序的运行路径,来执行我们的程序。 二.Hook技术的实现 1)需求分析 ...
HOOK API 完美支持 x86 x64
05-24
完美支持 x86、x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
VEH Hook 及 检测
热门推荐
零点起步
04-15 1万+
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。 在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。 typed
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 2218
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
游戏逆向-2.2VEH+软件/硬件断点实现hook
qq_41709308的博客
03-08 4188
这里设置4个硬件断点后,还可以通过int 3实现软件断点,软件断点的优点在于只破坏一个字节,同时理论上可以下无限多个hook,而硬件断点只限制在四个,当然除了int 3等,还可以通过设置Page_NoAccess达到异常hook,文章中就不再讲述另外的异常hook,如读者有兴趣了解更多可以自行补充,另外上一章的inline hook和软件断点将会留在2.3章实战中演示具体操作。
VEH+硬件断点实现无痕HOOK
鬼手的博客
09-24 1万+
文章目录hook的分类硬件断点hook原理设置硬件断点注册VEH代码实现VEH无痕Hook说说一路踩过的坑实际效果小结关于veh hook的对抗参考文章参考文章 hook的分类 hook方式有多种,这里做了一个系统性的总结对比,如下: 实际上第二种和第三种属于同一类型的hook,都是利用异常处理函数来处理,只是触发异常的方式不同 硬件断点hook原理 想要实现硬件断点hook,需要实现下面几个步骤 设置硬件断点 注册veh异常处理函数 编写异常处理函数,实现自己的hook代码 设置硬件断点 首先来说一
初探windows异常处理
hongduilanjun的博客
05-09 1286
windows系统里,为了保证系统内核的强壮和稳定,为了保证用户程序的强壮和稳定,提供了异常处理机制,来帮助程序员和系统使用人员处理异常。如果想要更加深入的掌握操作系统,异常处理的知识是必不可少的,不仅如此,软件调试也与异常处理息息相关。 异常执行流程 CPU检测到异常 -> 查中断表执行处理函数 -> CommonDispatchException -> KiDispatchException -> KiUserExceptionDispatcher -> Rtl
Windows异常学习笔记(三)—— VEH&SEH
lzyddf的博客
01-11 1769
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
栈回溯----X64
商少
06-19 3243
通过X64-SEH 的学习(http://blog.csdn.net/qq_18218335/article/details/72722320)我们知道了一个函数RtlVirtualUnwind,虚拟展开函数,该函数根据epilog 和 prolog 进行虚拟的寄存器操作(在一个CONTEXT结构体中),函数执行完,CONTEXT结构体中即为函数虚拟执行完后寄存器应该有的状态,其中rip 和 rs
内核模式到用户模式的回调函数----这篇文章是十年前国外大牛写的
商少
10-23 8581
内核模式到用户模式的回调函数http://www.nynaeve.net/?p=200        NTDLL 拥有一些特定的函数被内核用来代表用户模式执行特定的功能。尽管理解这些函数对于特定的功能(比如用户模式APC)的底层实现的理解是有用的,这些函数提供的功能非常的简单。        下面是一些NTDLL导出的,内核用于与用户模式通讯的函数: 1.KiUserExceptionDis
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值