Windows异常世界历险记(三)——VC6中结构化异常处理机制的反汇编分析(上)

最新推荐文章于 2022-06-08 20:19:04 发布
最新推荐文章于 2022-06-08 20:19:04 发布
阅读量584 收藏 1
点赞数
分类专栏: 调试与反汇编 文章标签: VC6 结构化异常处理机制 SEH except_handler3 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LPWSTR/article/details/79192327
版权

在《Visual C++异常处理机制原理与应用》部分,我们讲解了Visual C++提供的结构化异常处理机制,并对其中比较简单的终止型异常处理程序在部分条件下(自然执行、提前越出、__leave关键字等)进行了反汇编分析。下面我们继续对整个Visual C++结构化异常处理机制进行分析。

本次分析的目标环境是VC++ 6.0,这是一款已经有些“美人迟暮”的集成开发环境。使用它进行分析,主要原因如下:

  1. 仍有不少程序使用VC++ 6.0开发和编译(特别是恶意代码、灰产代码等)

  2. Visual Studio的发展是一脉相承的,VC++ 6.0所使用的异常处理机制也为后续Visual Studio所借鉴并发展,大框架并没变。VC++ 6.0中的结构化异常机制相对比较简单,却囊括了所有关键部分。

因此,下面先在VC++ 6.0环境下进行相关分析,完毕后再分析Visual Studio 2017中C/C++结构化异常处理机制。

测试代码与分析

下面是用于测试的代码:

#include <windows.h>
#include <tchar.h>

int ExceptFilterInner(DWORD dwExceptionCode)
{
    MessageBox(NULL, TEXT("Inner try`s filter running"), TEXT("Inner Try"), MB_OK);
    if (dwExceptionCode == EXCEPTION_ACCESS_VIOLATION)
    {
        return EXCEPTION_CONTINUE_SEARCH;
    }
    else
    {
        return EXCEPTION_CONTINUE_EXECUTION;
    }
}

int ExceptFilterOuter()
{
    MessageBox(NULL, TEXT("Outer try`s filter running"), TEXT("Outer Try"), MB_OK);
    //return EXCEPTION_CONTINUE_SEARCH;
    return EXCEPTION_EXECUTE_HANDLER;
}

void RaiseExcept()
{
    __try
    {
        _try
        {
            *(PDWORD)NULL = 0;
        }
        __finally
        {
            MessageBox(NULL, TEXT("Inner::Finally block execute"), TEXT("In Inner::finally"), MB_OK);
        }
    }
    __except (ExceptFilterInner(GetExceptionCode()))
    {
        MessageBox(NULL, TEXT("Never execute"), TEXT("haha"), MB_OK);
    }
}

int WINAPI _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nShowCmd)
{
    __try
    {
        __try
        {
            RaiseExcept();
        }
        __finally
        {
            MessageBox(NULL, TEXT("Outer::Finally block execute"), TEXT("In Outer::finally"), MB_OK);
        }
    }
    __except (ExceptFilterOuter())
    {
        MessageBox(NULL, TEXT("Outer try catched"), TEXT("haha"), MB_OK);
    }
    return 0;
}

在WinMain中设置了两个try块,其中:

  1. 内层的try块为try-finally终止异常处理
  2. 外层try块为try-except型异常处理,能处理任何异常程序

而在WinMain中被try块保护范围内,调用了一个名为RaiseExcept的函数,该函数被两层try块保护,其中执行了一段导致违规访问的代码:

  1. 内层try块为try-finally终止型异常处理

  2. 外层try块为try-except异常处理,但不处理违规访问类型的异常

按照之前的分析,执行的顺序是:

  1. RaiseExcept中外层try-except中的过滤函数,而该异常处理块不处理此类型异常;

  2. 转而执行WinMain中外层try-except的过滤函数,并确定该异常处理块可以执行此类异常;

  3. 执行RaiseExcept内层finally块的代码

  4. 执行WinMain内层finally块的代码

  5. 执行WinMain中try-except的异常处理代码

异常处理块的安装和卸载

WinMain中的异常处理函数

43:   int WINAPI _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nShowCmd)
44:   {
00401220 55                   push        ebp
00401221 8B EC                mov         ebp,esp
00401223 6A FF                push        0FFh
00401225 68 38 21 42 00       push        offset string "In Outer::finally"+18h (00422138)
0040122A 68 60 14 40 00       push        offset __except_handler3 (00401460)
0040122F 64 A1 00 00 00 00    mov         eax,fs:[00000000]
00401235 50                   push        eax
00401236 64 89 25 00 00 00 00 mov         dword ptr fs:[0],esp
; 省略部分代码
45:       __try
00401255 C7 45 FC 00 00 00 00 mov         dword ptr [ebp-4],0   ; tryLevel置为0,表明进入外层try块
46:       {
47:           __try
0040125C C7 45 FC 01 00 00 00 mov         dword ptr [ebp-4],1   ; tryLevel置为1,表明进入第二层try块
最低0.47元/天 解锁文章
LPWSTR
关注
专栏目录
Windows异常世界历险记(五)——VC6结构化异常处理机制反汇编分析(下)
LPWSTR的博客
01-16 670
在本系列的上一篇文章windows异常世界历险记(四)——VC6结构化异常处理机制反汇编分析,给出了针对VC6异常处理机制进行逆向后得到的伪码。在本文,我们仍然以之前写的小程序为例,通过调试的方式结合我们得到的VC6结构化异常处理的伪码,对其运行机制进行分析
c/vc++/MFC异常处理/结构化异常处理 浅析
08-16
c/vc++/结构化异常处理 浅析 C语言异常处理 C++语言异常处理 异常处理函数 MFC异常处理 结构化异常处理
vc++6结构化异常处理try-except-finally语句
冷月宫主的专栏
11-28 1333
原帖及讨论:http://bbs.bc-cn.net/dispbbs.asp?boardID=55&ID=166791 */ -------------------------------------------------------------------------------------- */ 出自: 编程国  http://www.bc-cn.net */ 作者: miss
VC6异常抛出
丰空岛主(Vega Prime,Android,LabWindows,ThreeJS,Python,OpenCV)
11-12 804
在程序开发异常抛出是必要的工作, 看VC6下如何异常抛出。   __try  {   int ret=0;   int m=ret / 0;      ::MessageBox(0,"right","Err" ,0);//在realease编译下可以弹出这个对话框        }  __except(1) //个参数的详细解释。  {   ::Messa
结构化异常处理(seh) (转)
evers的专栏
11-15 1336
结构化异常处理(seh)   毕业的事情终于要搞定了,几个月前就答应要写这么一个文章,现在补上.  结构化异常处理是一种操作系统提供的机制,用来优化程序的结构,提供更加健壮的程序执行环境.试想想你写程序不用考虑哪里有个内存访问错误,哪里有个空指针等等一类的错误,一直按照程序的逻辑结构向下写,而不用去检查函数是否成功,这会是多么愉悦的事情(这个乃是seh的宣传词,不代表我的观点,这里完全是无责任
Windows异常世界历险记(四)——VC6结构化异常处理机制反汇编分析
LPWSTR的博客
01-16 434
本文主要分析VC6结构化异常处理机制的tryLevel含义,栈结构并给出except_handler3函数的逆向还原结果。
JAVA上百实例源码以及开源项目源代码
12-11
凯撒加密解密程序 1个目标文件 1、程序结构化,用函数分别实现 2、对文件的加密,解密输出到文件 利用随机函数抽取幸运数字 简单 EJB的真实世界模型(源代码) 15个目标文件 摘要:Java源码,初学实例,基于EJB的真实...
C语言面试题汇编
热门推荐
forlong401的专栏--有问题上:http://www.androidren.com
11-20 1万+
1.局部变量能否和全局变量重名?     答:能,局部会屏蔽全局。要用全局变量,需要使用"::" ;局部变量可以与全局变量同名,在函数内引用这个变量时,会用到同名的局部变量,而不会用到全局变量。对于有些编译器而言,在同一个函数内可以定义多个同名的局部变量,比如在两个循环体内都定义一个同名的局部变量,而那个局部变量的作用域就在那个循环体内。 2.如何引用一个已经定义过的全局变量?
vc++6对windows SEH扩展分析 一文拾遗
lixiangminghate的专栏
08-12 974
前一篇文章vc++6对windows SEH扩展分析 尚有遗漏,本篇加以补齐。     其实本文参考csdn上一篇名为,同时提出了一些质疑。   作者罗列了vc++6.0扩展的SEH节点的结构如下: struct _EXCEPTION_REGISTRATION    {      struct _EXCEPTION_REGISTRATION *prev;      void (*handle
vc 编译器对异常的设置
xbgprogrammer的专栏
02-06 562
vc2005try - catch块默认不包含对SEH的处理,只包含对c++异常的处理。如果某Exe设置包含SEH处理,则此Exetry-catch可以处理seh异常,但并不意味着其所依赖的dlltry-catch可以处理seh异常,要具体看dll的工程设置【启用c++异常】的设置,同样,若只是dll工程【启用c++异常】设置为可以处理seh异常,也只是dlltry-catch可以处
Visual C++异常处理机制原理与应用()——C/C++结构化异常处理之try-except异常处理的使用(上)
LPWSTR的博客
12-03 2327
在微软的VC++,C/C++结构化异常处理机制一共包含两部分内容:终止处理程序和异常处理程序,本文主要介绍异常处理程序的相关内容。
vc++ 结构化异常处理 SEH __try {} __finally {} 例外情况
xkdlzy的专栏
07-20 344
SEH 结构化异常处理 __try __finally
异常捕捉与反汇编分析
nizqsut的专栏
08-08 985
MIPS Exceptions有很多种,最常见的TLB(Miss/Invalid)、unaligned access。代码NULL指针访是最常见的问题之一,通过将0地址附近(足够大)一段地址映射为Invalid。通过NULL指针对这段内存地址访问的时候就会触发TLB Invalid Exceptions。“足够大”要多大,要视系统最大结构体偏移地址而定,通常是4KB~64KB。如果访问地址超过了
在VC++混用C++异常结构化异常
gisgan2006的专栏
06-09 2381
 在初学VC的时候,总以为try()catch(...)可以抓到所有的异常. 在开发之前开发的一个服务器程序,才发现服务器经常莫名其妙的宕机了.一直觉得很诡异.   直到后来看了很多资料才明白结构化异常C++异常是两套东西,不统一。有些异常try.catch不一定能不抓到. 要将两种异常共同使用.下面的代码可以达到目的. 使用下面异常类,可以使程序更稳定.(注意:编译选项里面要记得打开 结
VC6.0在Win10系统下调试异常
md0011的专栏
06-08 846
1)菜单Tools --> Options 如上图所示,进行修改。 2)重启VC6.0即可。
对于结构化异常处理(SEH)的进一步探索
Victor 的专栏
12-31 1594
写本文的起因 Matt Pietrek 关于结构化异常处理的文章 A Crash Course on the Depths of Win32 Structured Exception Handling 是一篇很棒的文章(在本文末的“相关文章”有我整理过的文版文章链接),对于我了解 Win32 下的这种异常处理机制帮助很大。在仔细读完整篇文章、跟踪过相关代码的执行流程后,仍有意犹未尽的感觉。本文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值