Hook KiUserExceptionDispatcher参数指针错误的问题

最新推荐文章于 2023-12-08 20:43:48 发布
最新推荐文章于 2023-12-08 20:43:48 发布
阅读量9.5k 收藏 3
点赞数
分类专栏: 原创文章 文章标签: hook 汇编 bt bing 制造 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SilenceNet/article/details/6054254
版权

跟了一个晚上,终于解决了

大概要实现的是用这个函数替换ntdll中的KiUserExceptionDispatcher,实现方法如下:

 

参考:http://www.longene.org/techdoc/0359381001224576966.html

这样看着只是通过KiUserExceptionDispatcher来调用ZwContinue与Zw...函数,看着很正常,几乎网上所有代码都是这个形式来写的(不知道他们是怎么通过的- -!)

运行时就出问题了,当有异常发生时 要么就是在RtlDispatchException里面不出来也没反应,要么就是一直循环的调用他,这个函数是R3异常处理的入口点,只要这里面发生异常还是调用他 - -!

在正常情况下,进入函数第一条指令时:

ESP=返回地址,ESP+X才是参数

..........................................................................

跟到刚刚才发现,跑到函数入口点时[ESP]=第一个参数,[ESP+4]=第二个参数,根本没有返回地址

而自己写的这个函数,永远是[ESP+4]=第一个参数,[ESP+8]=第二个参数.. - -! 这样不错才惨了...

----------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------

这是KiUserExceptionDispatcher,异常无数,但从没见过执行到77C7014A, ZwContinue直接进入内核了,而进ZwRaiseException后,估计程序就崩了,RtlRaiseException这里也是没见执行过的,- - 都摆设..

-----------------------------------------------------------------------------------------------------

问题点找着了,翻遍了GG BING也没见有说无返回地址参数问题,最后为了省事把他当作跳板转到其它函数中处理(没有汇编基础的感觉这方法是最简单*_*-)

 

哎,真走了不少弯路,当时以为是参数顺序错了..结果_估计_是该函数是由内核空间转入用户空间入口,则无返回地址入栈,网上文章也没细看,问题解决百岁!

---------------------------------------------------------------------------------------------------------------------

注:

RtlDispatchException在Ntdll中未导出,需按各个版本处理该函数地址

处理如下:

经过上面的函数处理,能够捕捉到的异常貌似都能够通过了,然后就能在程序中制造出种种异常,一一奸杀,=_=

silencenet
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
【爬虫JS逆向-工具篇】浏览器内存漫游加密参数Hook实战教程
吴秋霖的博客
02-21 3544
浏览器内存中变量级别的抓包监控工具!辅助爬虫JS逆向加密参数定位、让JS逆向变得更加简单~
Win10 X64 HOOK KiUserExceptionDispatcher
瞎捣鼓
01-31 2201
Win10 X64 HOOK KiUserExceptionDispatcher HOOK.ASM extrn NewKiUserExceptionDispatcher : proc extrn OrgKiUserExceptionDispatcher : proc extrn OldKiUserExceptionDispatcher : proc .data .code ;hook public MyKiUserExceptionDispatcher MyKiUserExceptionDi
Windows异常分发函数---KiUserExceptionDispatcher
weixin_46246967的博客
07-04 432
Windows异常分发函数---KiUserExceptionDispatcher
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4309
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
当出现ntdll!KiUserExceptionDispatcher时,如何用windbg 定位正确堆栈
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 7053
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这时就需要通过其他方式获取产生异常时的正确堆栈 下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点 [cpp] view plainco
Windows异常学习笔记(三)—— VEH&SEH
qq_41988448的博客
01-11 1453
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
2.内核异常处理流程
My classmates
10-29 1442
用户层异常与内核层异常 异常可以发生在用户空间,也可以发生在内核空间。 无论是CPU异常还是模拟异常,是用户层异常还是内核异常,都要通过 KiDispatchException函数进行分发,这个函数比较复杂。 VOID KiDispatchException ( ExceptionRecord, ExceptionFrame, TrapFrame, PreviousMode, First...
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
`ast-hook`工具就是针对这种情况设计的,它专注于帮助开发者在JavaScript代码中快速定位到特定参数值的生成位置,特别是涉及到加密参数的场景。本文将详细探讨`ast-hook`的工作原理、使用方法以及它在js逆向工程中的...
frida so Hook 获取指针参数的返回值
weixin_33730836的博客
05-21 5062
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ var soAddr = Module.findBaseAddress("libhello.so"); send('soAddr: ' + soAddr); var resultPtr = null; ...
React Hook通过简单的序列化来管理URL查询参数中的状态。-React开发
05-27
useQueryParams一个React Hook,HOC和Render Props解决方案,用于通过简单的序列化管理URL查询参数中的状态。 开箱即可使用React Router和Reach Router。 支持TypeScript。 我使用QueryParams一个React Hook,HOC和...
win10 X64 可用的钩子函数库
07-26
The Minimalistic API Hooking Library for x64/x86,win10 X64 可用
Frida Hook普通方法、构造方法、重载方法、构造对象参数、修改对象属性
小龙在线
01-07 2968
普通方法(公开、私有、静态) 构造方法 重载方法 构造对象参数 修改对象属性
WINDBG 查崩溃
八零点点
07-03 476
注意看“Following XXX”,字面意思是接下来的段可以错了,程序在这里崩溃了的意思,因为是从下往上走的,所以“Following XXX”上方的内容就是崩溃后的东西,而“Following XXX”下方的内容就是导致崩溃的“原因”,越接近“Following XXX”的越代表有可能是导致崩溃的直接模块,但是这不一定。符号是可以定位到具体函数,甚至具体错在哪一行代码的。b) 当进程没有自保护或者没有反调试时,在input框输入g,回车,即可打开进程,此时如果进程发生崩溃,会被立即捕捉到。
【转帖】Windows异常处理流程 - 看雪软件安全论坛
xu的blog
05-13 2526
导读:z 作者:SoBeIt出处:http://www.xfocus.net/articles/200412/761.html日期:2005-01-06先来说说异常和中断的区别。中断可在任何时候发生,与CPU正在执行什么指令无关,中断主要由I/O设备、处理器时钟或定时器等硬件引发,可以被允许或取消。而异常是由于CPU执行了某些指令引起的,可以包括存储器存取违规、除0或者特定调试指令等,内核
Windows11_22H2下的异常机制分析
lkylky123789的博客
12-08 762
Windows11_22H2异常分析
中断和异常
u012138730的专栏
05-10 3085
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
Windows 系统异常处理顺序总结
zhangmiaoping23的专栏
08-21 1977
首先要明白异常处理是分层的,有: 1.内核异常处理 2.调试器异常处理 3.进程VEH 3.线程SEH 4.进程SetUnhandledExceptionFilter()注册的函数 5.系统默认的异常处理函数 UnhandledExcetionFilter(). UnhandledExceptionFilter()根据 HKLM\SOFTWARE\Microsoft\Windows N
无痕HOOK方式=硬断+VEH
热门推荐
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
c++ hook 函数 截获参数
最新发布
12-13
hook 函数是一种在程序运行过程中截获特定事件或函数调用,并对其参数进行处理的技术。通过使用 hook 函数,我们可以监控并截获参数,从而在运行时对其进行修改或记录。 在使用 hook 函数截获参数时,一般需要了解...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值