调试与异常--手工注册SEH

最新推荐文章于 2023-05-21 21:02:26 发布
最新推荐文章于 2023-05-21 21:02:26 发布
阅读量940 收藏 1
点赞数 2
文章标签: 注册SEH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CMC_HHM/article/details/80159634
版权

SEH (Structed Exception Handler,结构化异常处理)

手工注册SEH的前提是知道SEH异常处理函数的原型。

配置好双机调试环境,在WINDBG中输入 dt _TEB -b ,就可以查看TEB(Thread Environment Block 线程环境块)结构。

kd> dt _TEB -b
ntdll!_TEB
   +0x000 NtTib            : _NT_TIB
      +0x000 ExceptionList    : Ptr32 
      +0x004 StackBase        : Ptr32 
      +0x008 StackLimit       : Ptr32 
      +0x00c SubSystemTib     : Ptr32 
      +0x010 FiberData        : Ptr32 
      +0x010 Version          : Uint4B
      +0x014 ArbitraryUserPointer : Ptr32 
      +0x018 Self             : Ptr32 
   +0x01c EnvironmentPointer : Ptr32 
   +0x020 ClientId         : _CLIENT_ID
      +0x000 UniqueProcess    : Ptr32 
      +0x004 UniqueThread     : Ptr32 
   +0x028 ActiveRpcHandle  : Ptr32 
   +0x02c ThreadLocalStoragePointer : Ptr32 
   +0x030 ProcessEnvironmentBlock : Ptr32 
   +0x034 LastErrorValue   : Uint4B

上面是TEB结构的一部分,这里主要介绍_NT_TIB这个结构体,因为需要从这里去寻找异常处理函数的原型。这个结构体的偏移量为0,可以通过FS寄存器来定位,系统通过FS:[0]找到这个结构体,也就是偏移量为0的成员,在TEB结构中表示ExceptionList这个字段,这是一个链表。当产生异常时,系统会依次调用其中的成员去处理异常。

现在在VS中查看_NT_TIB结构体中的成员,F12:

typedef struct _NT_TIB {
    struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;    //继续从这里跟进去
    PVOID StackBase;
    PVOID StackLimit;
    PVOID SubSystemTib;
#if defined(_MSC_EXTENSIONS)
    union {
        PVOID FiberData;
        DWORD Version;
    };
#else
    PVOID FiberData;
#endif
    PVOID ArbitraryUserPointer;
    struct _NT_TIB *Self;
} NT_TIB;

处理异常的时候主要用到的是 _EXCEPTION_REGISTRATION_RECORD这个结构体,继续F12跟进去:

typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;    //指向下一个SEH 的指针
    PEXCEPTION_ROUTINE Handler;                     //异常处理函数
} EXCEPTION_REGISTRATION_RECORD;

这里就能比较清楚的看到这是个链表结构了,再继续跟着PEXCEPTION_ROUTINE这个结构体进去,就可以得到SEH异常处理函数的原型了:

NTAPI EXCEPTION_ROUTINE (
    _Inout_ struct _EXCEPTION_RECORD *ExceptionRecord,
    _In_ PVOID EstablisherFrame,
    _Inout_ struct _CONTEXT *ContextRecord,
    _In_ PVOID DispatcherContext
    );

在自己写处理函数的时候,函数名是可以自己取的,只要符合命名规范都可以,但是参数的要保持一致,函数还需要一个返回值类型,在函数体中可以自己实现需要的功能。

使用示例:

//假定返回值为LONG
LONG NTAPI ExceptionHandler(
	_Inout_ struct _EXCEPTION_RECORD * ExceptionRecord,
	_In_ PVOID EstablishFrame,
	_Inout_ struct _CONTEXT * ContextRecord,
	_In_ PVOID DispatchContext)
{
	//自己实现函数体
	return 0;
}

 

搜索关注公众号[逆向小生],不定期更新逆向工程师需要掌握的技能,包括Windows和Android方面的逆向,还有作为一个逆向工程师的思维模式。

 

 

半同桌
关注
中断和异常
u012138730的专栏
05-10 3097
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1253
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
SEH反调试的实现与调试
05-16
seh 调试 反调试 破解 代码 SEH反调试的实现与调试  在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…
手动设置SEH
weixin_30896825的博客
03-09 297
转载至 http://bbs.pediy.com/showthread.php?t=46690 一般情况下我们在 VS2005以上都不能手动设置SEH异常处理函数 因为有 SafeSEH 保护 但是可以将保护的SEH验证给篡改掉 也就是将 系统的SEH函数JMP我们的异常函数地址 如下: #include "stdafx.h" #include <Windows.h...
SEH注册回调函数
raiky的专栏
03-28 1255
我第一次知道SEH是在学习缓冲区溢出时,就知道这是windows的一个异常处理机制。SEH是基于线程的,使用SEH可以为每个线程设置不同的异常处理程序,而且可以为每个线程设置多个异常处理程序;SEH是硬件平台相关的,因为使用了与硬件平台相关的数据指针。win32为每个线程定义了一个线程信息块(TIB),其中保存了线程的一些属性数据,TIB的格式被定义为NT_TIB结构:NT_TIB STR
注册自定义的异常处理函数
wodamazi
09-11 184
注册自定义的异常处理函数 2011-9-11 SetUnhandledExceptionFilter()函数注册一个自己的未处理异常过滤函数,下面是一个code实例 /* Demonstrates how to use SEH so that unhandled exception filter can trap unhandled instructions. */ ...
SEH及逆向调试
Starr
10-10 2817
SEH 文章目录SEH1. 异常处理方法正常运行的异常处理调试运行的异常处理2. 常见异常EXCEPTION_ACCESS_VIOLATIONEXCEPTION_BREAKPOINTEXCEPTION_ILLEGAL_INSTRUCTIONEXCEPTION_INT_DIVIDE_BY_ZEROEXCEPTION_SINGLE_STEP3. SEH详细说明回调函数ExceptionRecordEs...
浅析Windows异常处理结构与实现
qq_41861225的博客
05-18 742
浅析Windows异常处理结构与实现   Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。 一、异常处理的个人理解简述   当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
Exploit Development – 使用SEH绕过Security Cookie
好记性不如烂笔头
12-18 3286
前面我们介绍在关闭/GS和DEP的情况下,如何利用栈溢出来实现exploit。下面我们会开启/GS,以及介绍突破/GS的常用手法。
软件加密解密技术内幕测试第1版CHM读本.rar
07-09
 手工构造一个超微型的 PE 文件  Win32调试API  传递给异常处理例程的参数  如何通过崩溃地址找到出错的代码行  利用SEH改变程序流程以达到反跟踪的目的  完全用VB进行ASM编程的示例  实现调用加壳的...
SEH 入门
商少
04-21 665
SEH 机制 Structedexception handling 结构化异常处理的简称。 这里介绍的异常处理并不是我们通常看到的__try__catch 语句,而是操作系统提供的一种异常机制。通过这种称为SHE 的机制,用户可以通过定义注册自己的异常处理函数以在异常出现的时候有机会执行自己的代码,决定程序流程。我们平时直观看到的异常处理机制都是编译器建立在windows SHE 基础之上的一
SEH in ASM 研究
春暖花开
07-31 453
标 题:SEH in ASM 研究(一) (7千字) 发信人:hume 时 间:2001-12-29 10:25:20 详细信息: SEH in ASM 研究(一) By Hume/冷雨飘心 为什么老调重弹: SEH出现已绝非一日,但很多人可能还不彻底了解Seh的运行机制;有关seh的知识资料不是很多,asm级的详细资料就 更少!seh不仅可以简化程序错误处理,使你的
SEH调试
weixin_41766049的博客
09-26 166
SEH函数原型 _except_handler( struct _EXCEPTION_RECORD *ExceptionRecord, void * EstablisherFrame, struct _CONTEXT *ContextRecord, void * DispatcherContext); 逆向工程489
SEH in ASM 研究(一)
jbn471rd
01-17 152
SEH in ASM 研究(一) 2011年02月20日   SEH in ASM 研究(一)   By Hume/冷雨飘心   为什么老调重弹:   SEH出现已绝非一日,但很多人可能还不彻底了解Seh的运行机制;有关seh的知识资料不是很多,asm级的详细   资料就更少!seh不仅可以简化程序错误处理,使你的程序更加健壮,还被广泛应用于反跟踪以及加解密中,因   此,...
SEH分析笔记(X64篇)
FrankieWang008的专栏
12-18 6829
SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本。 [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文的原始稿,一样的内容,更好的高亮和排版。 本文的部分代码可能会因为论坛的自动换行变得很乱,需要的朋友手动复制到自己的代码编辑器就可以正常显示了] 在之前的《SEH分析笔记(
SEH, SAFESEH相关
weixin_34026276的博客
07-29 129
  SEH, SAFESEH相关1,触发seh异常让目标程序Read/Write无效地址,如果和栈底相邻的内存只读,尝试覆盖超出栈底2,如何找到(显示)要覆盖的SEHod语法:dd fs:[0]softice语法: dd fs:03,覆盖SEH时需要填充的跳转地址需要找一个可以跳转成功的pop ?pop ?retn 的代码地址。od语法:Ctrl+B/L 5? 5? c3softice语法:s ...
SEH X64(2)
商少
05-26 1581
上一篇文章,我们介绍X64 SEH 操作所需要的操作,与X86相比,它是静态的并且这些静态信息足够用于展开操作,下面我们来分析展开操作相关的函数。 首先来看异常的分发函数。这里的调用流程其实跟X86 SEH 类似,KiDispatchException--->RtlDispatchException---->RtlpExecuteHadnlerForException。KiDispatchExc
【逆向工程核心原理:SEH
qq_42363151的博客
05-21 1234
reverse
软件漏洞分析入门(五)
SimoSimoSimo的博客
07-12 1186
异常处理机制简单来说,就是当异常发生的时候,系统先抛出异常,程序先检查一遍,看看自己有没有能处理这种异常函数,能处理固然好,如果不能处理的话就继续传给系统,即默认异常处理,随机终止进程SEH,Structure Exception Handler,异常处理结构体,是一种 Windows 在异常处理中用到的一种数据结构。SEH 包含一个 SEH 链表指针以及应该异常处理函数句柄,栈中的多个 SEH 通过链表指针在栈内由栈顶向栈底串成单向链表,位于链表最顶端的 SEH 通过 TEB(线程环境块)0 字节偏移处
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值