反调试 - SetUnhandledExceptionFilter

最新推荐文章于 2024-05-09 15:11:20 发布
最新推荐文章于 2024-05-09 15:11:20 发布
阅读量5.1k 收藏 9
点赞数
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107298726
版权

原理

SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。

我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理函数(调试器默认情况下是接管的,当然调试器也可以选择不接管这个异常,所以这属于一种比较低级的反调试手段 🙃)

函数介绍

/*
	允许应用程序替代进程的每个线程的顶级异常处理程序
	返回值:用该函数建立的上一个异常过滤器的地址
*/
LPTOP_LEVEL_EXCEPTION_FILTER SetUnhandledExceptionFilter(
  LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter	// 一个指向顶级异常过滤器函数的指针,这个函数的返回值必须是 EXCEPTION_EXECUTE_HANDLER 或 EXCEPTION_CONTINUE_EXECUTION 或 EXCEPTION_CONTINUE_SEARCH
);

/*
	在调用线程中引发异常
*/
VOID RaiseException(
  DWORD           dwExceptionCode,			// 异常代码,参考:https://docs.microsoft.com/en-us/windows/win32/debug/getexceptioncode
  DWORD           dwExceptionFlags,			// 异常标志,0表示连续异常,EXCEPTION_NONCONTINUABLE 表示非连续异常
  DWORD           nNumberOfArguments,		// lpArguments 的参数数量
  const ULONG_PTR *lpArguments				// 参数数组
);

代码示例

// Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>

using namespace std;

// 如果有调试器,则不会执行这个函数
BOOL bIsBeinDbg = TRUE;
LONG WINAPI UnhandledExcepFilter(PEXCEPTION_POINTERS pExcepPointers){
    bIsBeinDbg = FALSE;
    return EXCEPTION_CONTINUE_EXECUTION;
}

int main()
{
    // 注册异常处理函数
    LPTOP_LEVEL_EXCEPTION_FILTER Top = SetUnhandledExceptionFilter(UnhandledExcepFilter);

    // 主动抛出一个异常
    RaiseException(EXCEPTION_FLT_DIVIDE_BY_ZERO, 0, 0, NULL);

    if (bIsBeinDbg == TRUE) {
        cout << "发现调试器!" << endl;
    }
    else {
        cout << "没有调试器!" << endl;
    }

main_end:
    getchar();
    return 0;
}

效果图

vs调试:
在这里插入图片描述

正常打开:
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SetUnhandledExceptionFilter 调试
编程论坛
06-11 1699
646F1877  |.  8B85 E0FCFFFF MOV EAX,DWORD PTR SS:[EBP-320]646F187D  |.  C705 D0347E64&gt;MOV DWORD PTR DS:[647E34D0],10001646F1887  |.  A1 88357E64   MOV EAX,DWORD PTR DS:[647E3588]646F188C  |.  A3 84...
SEH调试SetUnhandledExceptionFilter
hambaga的博客
09-18 662
// SEH调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <windows.h> #include <stdio.h> DWORD g_bIsDebug = 0x1; // 非调试模式下会运行这里的代码 LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept) { g_bIsDebug = 0x0; // 跳过异常指令 mov dword ptr[
【Qt】SetUnhandledExceptionFilter设置程序异常筛选器函数
jn10010537的博客
01-02 3112
如果是调试状态,则通知调试器发生了异常,如果不是调试状态,操作系统会查看当前线程是否安装了的异常帧链(FS[0]),如果安装了SEH(try…如果异常链中所有的SEH都没有处理此异常,而且此进程还处于调试状态,则操作系统会再次通知调试器发生异常(二次异常)。调用SetUnhandledExceptionFilter函数后,如果在未调试的进程中发生异常,并且异常会将其设置为未处理的异常筛选器,该筛选器将调用 lpTopLevelExceptionFilter 参数指定的异常筛选器函数。
SetUnhandledExceptionFilter和C / C ++运行时库
04-08
本文介绍了SetUnhandledExceptionFilter与CRT一起使用的修复程序。
QT项目dump异常机制的使用
最新发布
qq_43414873的博客
05-09 1094
QT工程,mingw编译器,结合dump机制和.pdb文件,完成bug调试
SetUnhandledExceptionFilter让程序优雅的崩溃(转)
ahoo110的博客
05-24 861
虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。所以一拍脑袋,想让自己的程序崩溃的体面一点。自己想了大概的思路,觉得可以用一个进程来监控目标程序。的确也可以拿到了目标程序崩溃的信息,知道它什么时候崩溃的,也可以做额外的操作,但是这样是没办法把默认的发送错误的对话框去掉的。然后又有人说是不是采用了
SetUnhandledExceptionFilter函数学习
冷风
11-18 1万+
SetUnhandledExceptionFilter函数学习      首先看下百度上的对此函数的解释。设置异常捕获函数.  当异常没有处理的时候,系统就会调用SetUnhandledExceptionFilter所设置异常处理函数.  例如一些程序在出错的时候,会向用户报告说程序那出错就是利用这个.例如QQ..  异常处理中的一部分  当发生异常时,比如内存访问违例时,CPU硬件会发现此问题,
SetUnhandledExceptionFilter无法捕获异常原因及解决方法
热门推荐
kevin3683的专栏
02-10 1万+
转自:http://name5566.com/934.html 很多 C/C++ 程序会设置自己的 Unhandled Exception Filter 用于捕获 Unhandled exceptions 并输出一些信息(例如,创建 mini-dump 或者输出调用栈到日志文件中)。 从 VC++2005 开始出于安全因素微软改变了 CRT 的行为。在以下情况下 CRT
setunhandledexceptionfilter 无法捕获异常_如何搭建前端异常监控系统
weixin_39937447的博客
11-29 336
原文作者:发声的沉默者原文地址:人类身份验证 - SegmentFault什么是异常是指用户在使用应用时,无法得到预期的结果。不同的异常带来的后果程度不同,轻则引起用户使用不悦,重则导致产品无法使用,从而使用户丧失对产品的认可。为什么要处理异常增强用户体验远程定位问题无法复现问题,特别是移动端,各种原因,可能是系统版本,机型等等前端有哪些异常如何捕获异常try-catchtry-catch 只能捕...
调试手段 源码加注释
05-05
在IT安全领域,尤其是软件开发和逆向工程中,“调试”是一种常见的技术,用于防止恶意用户或黑客通过调试工具分析程序的行为。本压缩包文件“ANTIDBG”可能包含了多种调试策略的源码及注释,这些策略通常被应用...
易语言SEH调试
07-21
在描述中提到的`MyUnhandledExceptionFilter`和`SetUnhandledExceptionFilter`是Windows API函数,它们与SEH调试紧密相关。`SetUnhandledExceptionFilter`函数允许程序设置一个自定义的未处理异常过滤器,即`...
易语言六种调试方法源码-易语言
06-13
在易语言中,调试技术是一种防止恶意用户通过调试工具分析和篡改程序行为的安全措施。这里我们将深入探讨易语言中的六种调试方法及其源码实现。 1. **检查调试器存在**: 这种方法通常是通过检测某些调试器...
SetUnhandledExceptionFilter的c++代码
05-06
SetUnhandledExceptionFilter的c++代码
易语言源码易语言SEH调试源码.rar
02-17
2. **调试检测**:讲解如何通过检查SEH链表、钩子API函数(如SetUnhandledExceptionFilter)或者异常处理程序的执行路径来判断是否存在调试器。 3. **代码混淆**:可能包含使用易语言混淆技巧,使代码难以理解,...
游戏异常处理(转)
08-31 473
如何定位导致Crash的代码位置 (转)VC调试入门 游戏异常处理(转)技术类   2009-05-31 18:10   阅读24   评论0   字号: 大大  中中  小小  1.      前言 几 乎每个游戏都或多或少地存在着缺陷,辛辛苦苦完成的游戏要是最终在玩家那里崩溃了,对开发人员来说可能是
window下使用SetUnhandledExceptionFilter捕获让程序的崩溃
menghuangxiao的专栏
03-11 709
转自:https://blog.csdn.net/bingqingsuimeng/article/details/73497198 简单使用SetUnhandledExceptionFilter()函数让程序优雅崩溃 虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。 所以一拍脑袋,想让自...
SetUnhandledExceptionFilter处理未捕获异常
sam的学习家园
07-20 5457
首先看下百度上的对此函数的解释。设置异常捕获函数.   当异常没有处理的时候,系统就会调用SetUnhandledExceptionFilter所设置异常处理函数.   例如一些程序在出错的时候,会向用户报告说程序那出错就是利用这个.例如QQ..   异常处理中的一部分   当发
SetUnhandledExceptionFilter 什么意思
06-03
SetUnhandledExceptionFilter 是一个 Windows API 函数,用于设置一个应用程序级别的未处理异常过滤器函数,用于处理应用程序中未被捕获的异常。该函数的语法如下: ```C++ LPTOP_LEVEL_EXCEPTION_FILTER SetUnhandledExceptionFilter( LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter ); ``` 该函数接受一个指向顶级异常过滤器函数的指针作为参数。顶级异常过滤器是一个函数,用于处理未被捕获的异常,如果该函数返回 EXCEPTION_EXECUTE_HANDLER,则表示异常已被处理,如果返回 EXCEPTION_CONTINUE_SEARCH,则表示继续查找其他的异常过滤器。如果所有的异常过滤器都无法处理该异常,则系统会弹出一个错误消息框,提示用户程序已经发生了一个错误,并且程序将被终止。 通过调用 SetUnhandledExceptionFilter 函数,我们可以将自己编写的异常过滤器函数注册到系统中,从而处理应用程序中未被捕获的异常。需要注意的是,如果一个异常过滤器函数返回 EXCEPTION_EXECUTE_HANDLER,则表示该异常已经被处理,程序将继续执行,但是异常已经被忽略,可能会导致程序出现其他的错误。因此,我们需要谨慎地编写异常过滤器函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值