SEH及逆向调试

最新推荐文章于 2023-07-18 14:21:20 发布
最新推荐文章于 2023-07-18 14:21:20 发布
阅读量2.8k 收藏 7
点赞数
分类专栏: # re windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/102490551
版权
windows 同时被 2 个专栏收录
26 篇文章 2 订阅
订阅专栏
re
14 篇文章 0 订阅
订阅专栏

SEH

文章目录


SEH除了异常处理,还大量用于反调试。

SEH在代码中使用__try, __except, __finally关键字实现。

与c++的异常处理不同,不要混淆。微软SEH要早一些。

1. 异常处理方法

正常运行的异常处理

有处理代码则顺利处理,没有实现SEH则启动默认处理,终止进程。

调试运行的异常处理

调试器几乎拥有被调试者的所有权限,异常也优先由调试器处理。这时调试器会暂停,处理异常后继续调试。

下面是几种处理方法。

  • 调试器直接修改异常:代码、寄存器、内存
  • 抛给被调试者,shift+f7/f8/f9即可
  • 调试器和被调试者都不能处理,则由OS默认方式处理

2. 常见异常

EXCEPTION_RECORD结构体有一个ExceptionCode成员,存有异常种类码值。

下一部分会再说这个结构体,先说下几个重要的ExceptionCode。

EXCEPTION_ACCESS_VIOLATION

#define EXCEPTION_ACCESS_VIOLATION          STATUS_ACCESS_VIOLATION
#define STATUS_ACCESS_VIOLATION          ((DWORD   )0xC0000005L)

触发:

mov dword ptr ds:[0], 1
add dword ptr ds:[401000], 1
xor dword ptr ds:[8000 0000], 1234h ;kernel address

EXCEPTION_BREAKPOINT

#define EXCEPTION_BREAKPOINT                STATUS_BREAKPOINT
#define STATUS_BREAKPOINT                ((DWORD   )0x80000003L)

调试器就是利用这个异常实现断点功能的。比如f2设置cc后会触发,但反汇编窗口并不会显示cc,用PETools将进程内存dump后就能看到cc了。

有一个调试方法,在注册表中将默认调试器改为OD,可以把一个目标文件的EP处字节改为cc,一运行就直接attach。

EXCEPTION_ILLEGAL_INSTRUCTION

#define EXCEPTION_ILLEGAL_INSTRUCTION       STATUS_ILLEGAL_INSTRUCTION
#define STATUS_ILLEGAL_INSTRUCTION       ((DWORD   )0xC000001DL)

遇到无法解析的OPCODE时会触发,比如x86没有0FFF

EXCEPTION_INT_DIVIDE_BY_ZERO

#define EXCEPTION_INT_DIVIDE_BY_ZERO        STATUS_INTEGER_DIVIDE_BY_ZERO
#define STATUS_FLOAT_DIVIDE_BY_ZERO      ((DWORD   )0xC000008EL)    

mov eax, 1
xor ebx, ebx
div ebx

EXCEPTION_SINGLE_STEP

#define EXCEPTION_SINGLE_STEP               STATUS_SINGLE_STEP
#define STATUS_SINGLE_STEP               ((DWORD   )0x80000004L)

cpu在单步模式下,每执行一条指令就会触发该异常。将EFLAG的TF(trap,陷阱)置1,就进入单步模式。

3. SEH详细说明

SEH以链的形式存在,将异常依次传递,直到处理。

typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;
    PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;

若Next为-1,则说明这是链表最后一个节点。

回调函数

回调处理函数原型如下:

typedef
_IRQL_requires_same_
_Function_class_(EXCEPTION_ROUTINE)
EXCEPTION_DISPOSITION
NTAPI
EXCEPTION_ROUTINE (
    _Inout_ struct _EXCEPTION_RECORD *ExceptionRecord,
    _In_ PVOID EstablisherFrame,
    _Inout_ struct _CONTEXT *ContextRecord,
    _In_ PVOID DispatcherContext
    );

typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE;

ExceptionRecord

第一个参数是刚刚整理异常时提到的结构体指针。

//
// Exception record definition.
//

typedef struct _EXCEPTION_RECORD {
    DWORD    ExceptionCode;
    DWORD ExceptionFlags;
    struct _EXCEPTION_RECORD *ExceptionRecord;
    PVOID ExceptionAddress;
    DWORD NumberParameters;
    ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
    } EXCEPTION_RECORD;

typedef EXCEPTION_RECORD *PEXCEPTION_RECORD;

EstablisherFrame

指向第一个节点(低地址)的位置。

ContextRecord

ContextRecord指向Context结构体,用来备份寄存器的值,也就是书上常说的上下文环境。

每个线程都有这么一个结构体。

typedef struct _CONTEXT {

    //
    // The flags values within this flag control the contents of
    // a CONTEXT record.
    //
    // If the context record is used as an input parameter, then
    // for each portion of the context record controlled by a flag
    // whose value is set, it is assumed that that portion of the
    // context record contains valid context. If the context record
    // is being used to modify a threads context, then only that
    // portion of the threads context will be modified.
    //
    // If the context record is used as an IN OUT parameter to capture
    // the context of a thread, then only those portions of the thread's
    // context corresponding to set flags will be returned.
    //
    // The context record is never used as an OUT only parameter.
    //

    DWORD ContextFlags;

    //
    // This section is specified/returned if CONTEXT_DEBUG_REGISTERS is
    // set in ContextFlags.  Note that CONTEXT_DEBUG_REGISTERS is NOT
    // included in CONTEXT_FULL.
    //

    DWORD   Dr0;
    DWORD   Dr1;
    DWORD   Dr2;
    DWORD   Dr3;
    DWORD   Dr6;
    DWORD   Dr7;

    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_FLOATING_POINT.
    //

    FLOATING_SAVE_AREA FloatSave;

    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_SEGMENTS.
    //

    DWORD   SegGs;
    DWORD   SegFs;
    DWORD   SegEs;
    DWORD   SegDs;

    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_INTEGER.
    //

    DWORD   Edi;
    DWORD   Esi;
    DWORD   Ebx;
    DWORD   Edx;
    DWORD   Ecx;
    DWORD   Eax;

    //
    // This section is specified/returned if the
    // ContextFlags word contians the flag CONTEXT_CONTROL.
    //

    DWORD   Ebp;
    DWORD   Eip;
    DWORD   SegCs;              // MUST BE SANITIZED
    DWORD   EFlags;             // MUST BE SANITIZED
    DWORD   Esp;
    DWORD   SegSs;

    //
    // This section is specified/returned if the ContextFlags word
    // contains the flag CONTEXT_EXTENDED_REGISTERS.
    // The format and contexts are processor specific
    //

    BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];

} CONTEXT;

typedef CONTEXT *PCONTEXT;

返回一个枚举类型

// Exception disposition return values
typedef enum _EXCEPTION_DISPOSITION
{
    ExceptionContinueExecution, 
    ExceptionContinueSearch,
    ExceptionNestedException,
    ExceptionCollidedUnwind
} EXCEPTION_DISPOSITION;

从0到3,依次为:
0. 继续执行异常代码;

  1. 传给下一个异常处理器;

2和3是在OS内部使用。

4. 调试

FS寄存器指向当前活动线程的TEB结构,0偏移处就是SEH第一个节点的地址,所以可以这样获得SEH链:

mov eax, fs:[0]

然后可以打开SEH chain窗口对比。

SEH添加和删除

添加:

push @MyHandler
push dword ptr fs:[0]
mov dword ptr fs:[0], esp

删除:

pop dword ptr fs:[0]
add esp, 4

这里不太好理解,调试一下就懂了。

EXCEPTION_ACCESS_VIOLATION调试示例

查看SEH Chain,在第一个节点地址772086D0下断点。

008FF97C    ntdll.772086D0
008FF994    ntdll.772151B2

执行下面的指令:

011B2080 >  33C0            xor     eax, eax
011B2082    C700 01000000   mov     dword ptr [eax], 1

引发中断后,观察栈:

ESP ==>  > 77215062  返回到 ntdll.77215062
ESP+4    > 008FF3F4
ESP+8    > 008FF97C
ESP+C    > 008FF444
ESP+10   > 008FF37C

参数一:pExceptionRecord

和普通函数调用不同,esp+4是第一个参数ExceptionRecord指针。

008FF3F4  05 00 00 C0 00 00 00 00 00 00 00 00 82 20 1B 01

c0000005就是EXCEPTION_ACCESS_VIOLATION的code值。

011b2082就是异常代码的地址。

参数二:pFrame

008FF97C其实就是上面SEH Chain中的起始地址。

参数三:pContext

特别注意eip,是ContextRecord偏移B8的地方。

008FF4FC  82 20 1B 01

参数四

最后一个参数供系统内部使用,可忽略。

异常处理如何反调试

mov esi, dword ptr ss:[esp+c]
mov eax, dword ptr fs:[30]
cmp byte ptr ds:[eax+2], 1
jnz ...
mov dword ptr ds:[esi + B8], xxxxxxxx
xor eax, eax
retn

伪代码:

esi = &context
eax = &PEB
if(eax.BeingDebugged)
...

next_eip = xxxxxxxx;

return 0;

最后返回的0,就是ExceptionContinueExecution

5. 设置OD选项

下面介绍Debugging options - exception的几个选项。

合理配置可以在不暂停调试器的情况下基于规避SEH实现的反调试招数。

忽略在kernel32中发生的内存非法访问异常

默认选中。也就是说,碰到的时候不会暂停。

向被调试者传递的异常

这些复选框中有:

  • int 3
  • single-step break
  • mem access violation
  • 除0
  • 无效或特权指令
  • All FPU exceptions

最后一个,是Float point unit,浮点运算单元,它有自己的一套指令,与普通x86结构不同。

勾选的异常会传递给被调试者处理。

忽略其它异常

这里添加的异常会发送给被调试者。

CodeStarr
关注
专栏目录
SEH调试(SetUnhandledExceptionFilter)
hambaga的博客
09-18 690
// SEH调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <windows.h> #include <stdio.h> DWORD g_bIsDebug = 0x1; // 非调试模式下会运行这里的代码 LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept) { g_bIsDebug = 0x0; // 跳过异常指令 mov dword ptr[
SEH调试
weixin_41766049的博客
09-26 169
SEH:函数原型 _except_handler( struct _EXCEPTION_RECORD *ExceptionRecord, void * EstablisherFrame, struct _CONTEXT *ContextRecord, void * DispatcherContext); 逆向工程489
SEH反调试的实现与调试
热门推荐
小驹的专栏
05-16 1万+
SEH用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…… 代码如下: void CSehDlg::RegSuc() { HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!"); } void CSehDlg::RegFai
SEH调试.rar
04-05
SEH调试.rar
易语言源码易语言SEH调试源码.rar
03-30
4. **随机化**:为了增加反调试的难度,源码可能会包含随机化技术,如随机化SEH链、代码段的位置等,使得每次程序运行时的调试环境都不同,增加了逆向工程的复杂性。 5. **混淆**:源码中可能会使用混淆技术,使得...
易语言SEH调试源码-易语言
06-13
本主题聚焦于易语言中的SEH(结构化异常处理)反调试技术,这是一种防止恶意调试程序的技术,通常被用于保护软件不被逆向工程分析。 SEH,全称Structured Exception Handling,是微软Windows操作系统中的一个异常...
ASM-SEH-GAME-call.rar_64 汇编seh_SEH_hook game_汇编call_远程call
09-22
这一技术通常在逆向工程、调试和游戏修改中应用。 首先,让我们深入理解结构化异常处理(SEH)。在Windows操作系统中,SEH是一种处理异常的方式,它维护了一个异常处理链表,用于在程序运行时捕获和处理异常。在...
C++ SEH HOOK拦截任意API 1G视频教程.zip
08-18
总之,“C++ SEH HOOK拦截任意API 1G视频教程”涵盖了C++编程、Windows API、异常处理和系统级调试等多个重要知识点。对于希望深入理解系统底层操作、开发安全工具或者进行逆向工程的IT专业人士来说,这是一个非常有...
SEH技术实现APIHook钩子
03-28
API Hook是一种广泛使用的逆向工程和系统监控技术,它允许开发者拦截并控制特定API(应用程序接口)调用的行为。在Windows环境中,有多种方法来实现API Hook,其中一种是使用结构化异常处理(Structured Exception ...
逆向工程核心原理:SEH
qq_42363151的博客
05-21 1289
reverse
调试—利用SEH链表
王二娃的生活的博客
08-03 2659
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
Windows异常世界历险记(二)——Win32用户层下SEH机制之对RtlUnwind的逆向分析
LPWSTR的博客
12-04 2764
RtlUnwind函数是一个用户层的Windows API函数,其作用是执行SEH的展开操作(正是由于Windows的SEH机制不自动进行展开操作,才提供了此API,供需要执行该操作的用户调用)。下面介绍其用处并进行逆向分析。
调试——Windows异常-SEH
nidongla的博客
05-05 390
调试——Windows异常-SEH京东优惠券 https://m.fenfaw.net/ 概念: SEH:Structured Exception Handling SEH是Windows默认的异常处理机制 如何使用 在代码中使用 __try​​__except()//结构类型的语句 __except()小括号里面填写表达式,表达式为真的时候执行里面的内容 __try里面包含的是可能触发异常的语句,except里面包含的是出现了异常后执行的操作。 __except()括号中表达式的取值范围:.
C++ 反调试(基于 SEH 的 SetUnhandledExceptionFilter)
LYSM
09-19 1411
终于! 终于把静态反调试串了一遍,虽然没有包含全部但是也对反调试的轮廓有了初步的认识。 但是这一切才刚刚开始,翻过一座山(坑),还有另一座山(坑)在等着你 ???? 刚发现 csdn 还有个发表情的功能,这就是传说中的彩蛋吗(以后有机会一定要发一个怎么发表情的教程) 参考代码: // Test_Console.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" ...
调试与异常--手工注册SEH
CMC_HHM的博客
05-01 944
SEH (Structed Exception Handler,结构化异常处理)手工注册SEH的前提是知道SEH异常处理函数的原型。配置好双机调试环境,在WINDBG中输入 dt _TEB -b ,就可以查看TEB(Thread Environment Block 线程环境块)结构。kd&gt; dt _TEB -b ntdll!_TEB +0x000 NtTib : ...
(笔记)逆向工程核心原理——SEH
qq_30101409的博客
12-19 482
SEH异常机制学习记录
调试专题丨反调试之基于SEH异常
最新发布
m0_64973256的博客
07-18 228
在如果程序出现异常,如果有调试器,根据优先级,调试器会优先接管异常,从而就会跳过异常处理,如果没有调试器,那么程序就会接收异常。MessageBox(NULL, L"警告", L"一切正常", MB_OK);MessageBox(NULL, L"警告", L"一切正常", MB_OK);MessageBox(NULL, L"警告", L"调试中", MB_OK);MessageBox(NULL, L"警告", L"调试中", MB_OK);printf("被调试了");反调试之基于SEH异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值