一种新的接管异常方式 【Win7x64】

最新推荐文章于 2021-02-18 00:01:06 发布
最新推荐文章于 2021-02-18 00:01:06 发布
阅读量348 收藏 1
点赞数
原文链接:https://my.oschina.net/tasker/blog/728087
版权

最近翻了翻前几年的代码,发现有好多东西都存在记忆的边缘了,所以翻出来复习一下。

 

(新的)接管异常方式:  

【Win7x64下测试通过】


//

//Wow64SetupExceptionDispatch函数的目的便是将32位上下文中的程序指针放到全局变量wow64!Ntdll32KiUserExceptionDispatcher

//以便飞到32位NTDLL中的KiUserExceptionDispatcher。

//

//so, 只需要改掉这里的 wow64!Ntdll32KiUserExceptionDispatcher (00000000`7460af80) 就可以控制64位线程的飞往方向

//

00000000`745dc707 8b0d73e80200    mov     ecx,dword ptr [wow64!Ntdll32KiUserExceptionDispatcher (00000000`7460af80)] ds:00000000`7460af80=773c0124                

00000000`745dc70d ff151d58ffff    call    qword ptr [wow64!_imp_CpuSetInstructionPointer (00000000`745d1f30)]



//-> x86汇编:

745dc707 - 8B 0D 73E80200        - mov ecx,[0002E873]



//经过换算  745dc707 + 5 + 0002E873 + 1  即可得出  wow64!Ntdll32KiUserExceptionDispatcher_addr所在地址

//

//最后它修改指向地址即可 *wow64!Ntdll32KiUserExceptionDispatcher_addr = xxxxxx





直接特征码:



DWORD Ntdll32KiUserExceptionDispatcher_addr =  _Seach("8b0d73e80200");

*(DWORD*)Ntdll32KiUserExceptionDispatcher_addr = MyExceptionDispatch

这样当前进程的异常处理的完全控制权就得到了。

 

转载于:https://my.oschina.net/tasker/blog/728087

chouhunpo4240
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
liteos 异常接管(十五)
weixin_30379973的博客
06-18 329
1 概述 1.1 基本概念 异常接管是操作系统对在运行期间发生异常的情况进行处理的一系列动作,譬如打印异常发生时当前函数调用栈信息、 cpu现场信息、任务的堆栈情况等。 异常接管作为一种调测手段,可以在系统发生异常时提供给用户有用的异常信息,譬如异常的类型、发生异常时系统的状态等,方便用户定位分析问题。 Huawei LiteOS的异常接管,在系统发生异常时的处理动作是显示异常发生时正在运行的任务...
彻底接管程序异常处理
mergerly的专栏
08-05 3152
1、SetUnhandledExceptionFilter可以设置异常处理函数过滤,就是可以在异常处理链中插入自己的异常处理函数。所以只要设置好我们的异常处理函数就可以捕获到Unhandled Exception。当然,时机一般选择在main函数开头或者是MFC程序的App::I
用自定义的异常接管未知的异常类抛出
Amkio的专栏
12-30 772
在实际开发中,我们常常遇到捕获异常的事情。捕获一个已知的异常好过捕获一个未知的异常,因为有些异常的信息我们是可以通过业务需要进行屏蔽处理的,还可以根据指定的异常进行监控处理。总之,随心所欲。。。我们想怎么样就怎么样,一切都在我们的掌控中。。。 首先,定义一个Exception的子类,实现父类的所有构造器。 /** * * @Description: * @author wuyan
C++在windows下的异常处理
09-29 165
项目大了代码多了以后难免会出些问题导致程序崩溃,为了快速定位崩溃的地址与原因,引入了SetUnhandledExceptionFilter这个API。 久了后发现这个API有些情况下无法WORK,异常会被其他异常处理接管。这样就无法定位到自己的崩溃原因。后面查了下,大致是在的msvcr.dll中会接管异常处理,它们不关心的部分才会丢给我们,比如说_set_invalid_parame...
Win10 X64 HOOK KiUserExceptionDispatcher
瞎捣鼓
01-31 2148
Win10 X64 HOOK KiUserExceptionDispatcher HOOK.ASM extrn NewKiUserExceptionDispatcher : proc extrn OrgKiUserExceptionDispatcher : proc extrn OldKiUserExceptionDispatcher : proc .data .code ;hook public MyKiUserExceptionDispatcher MyKiUserExceptionDi
行业文档-设计装置-一种接管式水龙头.zip
08-29
在给定的压缩包文件"行业文档-设计装置-一种接管式水龙头.zip"中,主要包含了一份关于“一种接管式水龙头”的详细设计文档,文件名为“一种接管式水龙头.pdf”。这份文档可能涵盖了水龙头的设计原理、创点、结构...
行业分类-设备装置-一种接管与阀座的固定结构.zip
09-03
5. **创点**:“一种接管与阀座的固定结构”可能涉及到某种的连接技术或设计理念,例如型密封材料、快速连接机制、增强抗疲劳性能的结构优化等。这些创可能提升了连接的可靠性和工作效率,降低了维护成本。 ...
redis_win_x64_x32 redis服务端 绿色免安装版本
12-11
这个“redis_win_x64_x32 redis服务端 绿色免安装版本”是一个专为Windows用户设计的Redis服务器版本,支持64位(x64)和32位(x86)操作系统,无需复杂安装过程,方便快捷地进行本地开发或测试。 首先,让我们深入...
行业分类-设备装置-一种接管座对接接头局部焊后热处理方法.zip
08-22
标题中的"一种接管座对接接头局部焊后热处理方法"着重讲述了在设备装置行业中,焊接接管座与管道或其他部件时,采用的一种特殊的局部焊后热处理技术。这种技术对于改善焊接接头的性能、消除焊接应力以及提高整体结构...
行业资料-交通装置-一种汽车暖风器接管.zip
08-20
行业资料-交通装置-一种汽车暖风器接管.zip
win10 X64 可用的钩子函数库
07-26
The Minimalistic API Hooking Library for x64/x86,win10 X64 可用
进程异常VEHHook源码
12-27
进程异常VEHHook源码进程异常
异常模块
08-08
完美过异常模块
SEH(结构化异常处理)
寻梦&之璐
02-18 5420
内容回顾: 当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接处理,而是修正3环EIP为KiUSerExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 KiUserExceptionDispatcher会调用RtlDispatchException函数来查找并调用异常处理函数,查找的顺序: 先查全局链表:VEH 再查句柄链表:SEH 它是与线程有关的,
无痕HOOK方式=硬断+VEH
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
弹出异常提示框的崩溃分析
飞鸟的专栏
09-01 6310
前导分析当程序执行崩溃的时候,如果程序并没有设置任何崩溃捕获钩子时,操作系统会弹出提示框,提醒用户是否调试或是关闭程序,如果这个时候我们使用任务管理器或者外部第三方程序创建了一个崩溃程序的dump,那么我们该如何分析呢。调试分析准备尽可能的准备好dump,二进制文件,以及pdb或者是map文件。加载dump到windbg中,设置调试符号的路径。 我们首先看看主线程的堆栈示意,因为我们的模块基本位于
g.e-hentai 绅士爬虫
热门推荐
chouhunpo4240的博客
12-27 22万+
# encoding: utf-8 # #pip install requests import requests #pip install BeautifulSoup4 import bs4 import time import os import sys class Spider(o...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值