SEH 机制探索2 --- 构建 SEH 链

最新推荐文章于 2023-05-21 21:02:26 发布
最新推荐文章于 2023-05-21 21:02:26 发布
阅读量852 收藏 2
点赞数 1
分类专栏: 结构化异常处理(SEH)机制探索 文章标签: exception 编译器 filter 工作 c 360

SEH 机制探索2 --- 构建 SEH 链

下面是异常处理程序的语法结构:

__try 
{
    // 受保护的代码
}
__except(exception filter)
{
    // 异常处理程序
}

__try{} 里的代码是受保护的,编译器会为 __try{} 块构建 SEH 链,__except(){} 块是根据括号里的 exception filter 的值来决定是否执行异常处理程序。

看看下面的简单示例:

int _tmain(int argc, _TCHAR* argv[])
{
 DWORD dwI;
 
 __try
 {
  dwI = 0;
 }
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  
 }

 return 0;
}

在进入 __try{} 块之前,编译器就会先构造好 SEH 环境,如下所示:

int _tmain(int argc, _TCHAR* argv[])
{
01041360 55                   push        ebp  
01041361 8B EC                mov         ebp,esp  
01041363 6A FE                push        0FFFFFFFEh  
01041365 68 10 6B 04 01       push        offset ___rtc_tzz+108h (1046B10h)  
0104136A 68 73 10 04 01       push        offset @ILT+110(__except_handler4) (1041073h)  
0104136F 64 A1 00 00 00 00    mov         eax,dword ptr fs:[00000000h]  
01041375 50                   push        eax  
... ... 
0104139C 8D 45 F0             lea         eax,[ebp-10h]  
0104139F 64 A3 00 00 00 00    mov         dword ptr fs:[00000000h],eax  
010413A5 89 65 E8             mov         dword ptr [ebp-18h],esp  
 DWORD dwI;
 
 __try
010413A8 C7 45 FC 00 00 00 00 mov         dword ptr [ebp-4],0  
 {
  dwI = 0;
010413AF C7 45 E0 00 00 00 00 mov         dword ptr [ebp-20h],0

这段代码除了构建 SEH 链外,还做了其它的工作,实际上这些工作异常的复杂,关系到整个 SEH 体系的来笼去脉,但是这里只关注标准的 SEH 链构建模式:

  1. 压入 exception handler,在这里是 __except_handler4() 它是缺省的异常处理程序。

    0104136A 68 73 10 04 01       push        offset @ILT+110(__except_handler4) (1041073h)


  2. 压入前一个 TEB 值。

    0104136F 64 A1 00 00 00 00    mov         eax,dword ptr fs:[00000000h]  
    01041375 50                   push        eax  


  3. 设置 FS:[0] 值
    0104139C 8D 45 F0             lea         eax,[ebp-10h]  
    0104139F 64 A3 00 00 00 00    mov         dword ptr fs:[00000000h],eax  

当我们的程序退出时,编译器会做恢复 SEH 链处理:

010413E2 8B 4D F0             mov         ecx,dword ptr [ebp-10h]  
010413E5 64 89 0D 00 00 00 00 mov         dword ptr fs:[0],ecx 

在 [ebp-10h] 里就是放着前一个 SEH 链。


上一页  目录  下一页

版权 mik 所有,转载请注明出处!

 

cosmoslife
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SEH原理剖析
mslieng1011的博客
11-05 1440
用户层数据结构 TEB TEB 第一个字段是NtTib,NtTib的第一个字段ExceptionList是一个表的头结点的首 地址. 当产生异常,系统会通过FS:[0]找到这个表,依次调用处理异常. typedef struct _EXCEPTION_REGISTRATION_RECORD{ struct _EXCEPTION_REGISTRATION_RECORD* next; //
SEH和展开操作
bingghost
01-28 3629
每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH   当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH,这些SEH中指定了多个回调函数,除他们以外,系统中可能还会存
SEH stack 结构探索(1)---SEH 的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2279
SEH stack 结构探索(1)---SEH 的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
反调试—利用SEH
王二娃的生活的博客
08-03 2628
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
SEH的介绍及实战
For Geek
05-08 9724
根据我们上节的异常讲解中,我们说过了SEH(Structured Exception Handler)是在无调试器接手的情况下,系统会遍历SE,然后寻找相应的SEH函数来处理异常。 首先稍微复习下我们的TEB kd> dt _teb ntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : ...
MinGW x86-64-8.1.0-release-posix-seh-rt-v6-rev0
最新发布
05-06
在压缩包文件名列表中的"x86_64-8.1.0-release-posix-seh-rt_v6-rev0"很可能包含了完整的MinGW-W64构建,包括编译器接器以及其他必要的工具和库。解压后,用户可以将这些文件安装到本地系统,配置环境变量,然后...
libcc-s-seh-1.dll(附安装教程)
08-15
2. **手动复制DLL**:从可靠的来源获取libcc_s_seh-1.dll文件,将其复制到系统目录(如`C:\Windows\System32`)或者程序的安装目录下。 3. **注册DLL**:在命令提示符中使用`regsvr32 libcc_s_seh-1.dll`命令进行...
qt编译运行找不到 libgcc-s-seh-1.dll
12-06
qt编译运行找不到 libgcc-s-seh-1.dll
x86_64-8.1.0-release-posix-seh-rt_v6-rev0.zip
07-03
总的来说,"x86_64-8.1.0-release-posix-seh-rt_v6-rev0.zip"是Mingw-w64的一个便携版发行,包含了GCC工具和运行时库,适用于64位Windows环境,支持POSIX异常处理和现代C++标准。如果你在开发跨平台软件或者需要在...
x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2
02-25
"x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2" 指的是一个针对x86_64架构的GCC编译器版本,该版本是12.2.0,定位为“release”发布版,具有POSIX线程(pthread)支持,使用SEH(结构化异常处理)机制,并且...
(笔记)逆向工程核心原理——SEH
qq_30101409的博客
12-19 419
SEH异常机制学习记录
【逆向工程核心原理:SEH
qq_42363151的博客
05-21 1092
reverse
深入理解SEH
For Geek
05-08 1971
KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchExce...
软件漏洞分析入门(五)
SimoSimoSimo的博客
07-12 1172
异常处理机制简单来说,就是当异常发生的时候,系统先抛出异常,程序先检查一遍,看看自己有没有能处理这种异常的函数,能处理固然好,如果不能处理的话就继续传给系统,即默认异常处理,随机终止进程SEH,Structure Exception Handler,异常处理结构体,是一种 Windows 在异常处理中用到的一种数据结构。SEH 包含一个 SEH 表指针以及应该异常处理函数句柄,栈中的多个 SEH 通过表指针在栈内由栈顶向栈底串成单向表,位于表最顶端的 SEH 通过 TEB(线程环境块)0 字节偏移处
[原创]windows-SEH详解
whl0071的专栏
02-25 3944
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到) 1.SEH SEH是windows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。 2.OS异常处理的办法 2.1正常运行时候的异常处理方法 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...
攻击windows异常处理机制SEH
0pt1mus
05-23 1531
转载自个人博客0pt1mus 0x00 简介 本文主要有两个部分。第一部分介绍windows异常处理机制中的SEH,详细介绍SEH工作原理。第二部分介绍如何通过栈溢出实现利用SEH来绕过GS。 0x01 SEH(异常处理结构体) SEH的全称是Structure Exception Handler,翻译为异常处理结构体,它是Windows异常处理机制所采用的的重要数据结构。每个SEH结构体包含两个DWORD指针:SEH表指针和异常处理函数句柄,共八个字节。如下图: 对SEH的初步理解,我们要了解一下几
栈溢出中利用SEH
W Blog
12-15 5426
结构化异常处理(SEH)         操作系统或程序在运行,难免会遇到各种各样的错误,如除零,非法内存访问,文件打开错误,内存不足,磁盘读写错误,外设操作失败。为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行下去,windows会对运行在其中的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。 S.E.H即异常处理结构体(Structure Exception Handl
栈溢出笔记1.10 基于SEH的栈溢出
hustd10的博客
04-16 8761
上节中简单地讲述了SEH的原理及逻辑结构。本节,要继续讲述SEH的物理结构及如何利用它进行栈溢出。先来看SEH的物理结构。先回想上节中的图51,我们在程序停在gets函数输入的时候查看SEH,看到了一大堆异常处理器,而当我们把断点设置在gets函数下一条语句的时候,其中很多没有了,这给我们一个直观的感觉:SEH保存在栈上。下面,我们就来看看栈上的SEH。我们使用的是example_10,即添加
mingw-w64 gcc-8.1.0 seh
06-19
### 回答1: mingw-w64是一个开源的工具,它可以将GNU编译器集合(GCC)用于Microsoft Windows操作系统。此工具对于开发Windows应用程序和库非常有用。 gcc-8.1.0是mingw-w64中包含的GCC的一个版本。该版本提供了许多新特性和优化,例如更好的C ++ 11支持和更快的编译时间。 SEH是Structured Exception Handling的缩写。它是一种在Windows操作系统中处理异常情况的机制SEH可用于处理许多类型的异常,例如硬件错误、内存访问冲突、除以零等。 在mingw-w64 gcc-8.1.0中,SEH被完全支持并内置于编译器中。这意味着我们可以使用SEH来处理Windows应用程序中的异常情况。SEH还允许我们编写更可靠、健壮的应用程序,因为它可以识别并处理任何由Windows操作系统引起的异常。 因此,mingw-w64 gcc-8.1.0和SEH的组合为开发Windows应用程序和库提供了强大的工具。它将编写可靠、高效和健壮的应用程序的可能性提高到了一个新的水平。 ### 回答2: mingw-w64 gcc-8.1.0 seh是一种可以在Windows系统上编译和运行C/C++程序的工具。其中,mingw-w64是一个基于MinGW(Minimalist GNU for Windows)的开源项目,支持多种操作系统和处理器架构,包括32位和64位的Windows平台;gcc-8.1.0则是GNU编译器集合中的一个版本,支持C语言和C++语言,能够生成高效、优化、符合标准的代码;seh(Structured Exception Handling)是一种结构化异常处理机制,可以在程序运行过程中捕获并处理异常,保证程序的稳定性和安全性。 使用mingw-w64 gcc-8.1.0 seh可以方便地编写和调试C/C++程序,同时享受到GNU编译器集合带来的高效性和开源项目的灵活性。使用seh可以有效防止程序在运行过程中因为异常而崩溃或者造成数据丢失等问题,提高程序的稳定性和可靠性。 总而言之,mingw-w64 gcc-8.1.0 seh的出现,为开发者提供了一个高效、安全、灵活的C/C++开发环境,可以帮助他们快速地开发出高质量的软件产品。 ### 回答3: mingw-w64 gcc-8.1.0 seh(Structured Exception Handling,结构化异常处理)是一种在Windows系统上处理异常的机制。mingw-w64是一个免费的开源软件项目,旨在向Windows平台移植GNU Compiler Collection(GCC)。其中的gcc-8.1.0是GCC的一个版本,支持各种编程语言,在Windows平台上比较常用。 在Windows系统中,异常处理是必需的。当程序运行时遇到错误或异常情况时,它会生成一个异常,这个异常可以是由程序本身引发的,也可以是由操作系统或其他原因引发的。SEH是一种机制,用于识别并处理这些异常情况。SEH允许程序员用结构化的方式处理异常,从而避免程序崩溃或停止运行。它可以让程序更加可靠和安全。 MINGW-w64 GCC-8.1.0支持SEH,这使得程序员可以使用该平台进行Windows应用程序、设备驱动程序、Web服务和其他应用程序的开发。通过使用MINGW-w64的SEH机制,程序员可以更轻松地进行调试和定位错误,减少程序的崩溃和停止运行的可能性,从而提高了程序的可靠性和鲁棒性。同时,MINGW-w64 gcc-8.1.0 SEH还提供了一些现代化的C++特性,例如异常安全和C++标准模板库(STL),这些都使得编程更加轻松和高效。因此,MINGW-w64 gcc-8.1.0 SEH是一个非常有用的工具,特别是对于那些在Windows系统上进行编程的人。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值