SEH 机制探索2 --- 构建 SEH 链

最新推荐文章于 2022-12-19 11:18:59 发布
最新推荐文章于 2022-12-19 11:18:59 发布
阅读量852 收藏 2
点赞数 1
分类专栏: 结构化异常处理(SEH)机制探索 文章标签: exception 编译器 filter 工作 c 360

SEH 机制探索2 --- 构建 SEH 链

下面是异常处理程序的语法结构:

__try 
{
    // 受保护的代码
}
__except(exception filter)
{
    // 异常处理程序
}

__try{} 里的代码是受保护的,编译器会为 __try{} 块构建 SEH 链,__except(){} 块是根据括号里的 exception filter 的值来决定是否执行异常处理程序。

看看下面的简单示例:

int _tmain(int argc, _TCHAR* argv[])
{
 DWORD dwI;
 
 __try
 {
  dwI = 0;
 }
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  
 }

 return 0;
}

在进入 __try{} 块之前,编译器就会先构造好 SEH 环境,如下所示:

int _tmain(int argc, _TCHAR* argv[])
{
01041360 55                   push        ebp  
01041361 8B EC                mov         ebp,esp  
01041363 6A FE                push        0FFFFFFFEh  
01041365 68 10 6B 04 01       push        offset ___rtc_tzz+108h (1046B10h)  
0104136A 68 73 10 04 01       push        offset @ILT+110(__except_handler4) (1041073h)  
0104136F 64 A1 00 00 00 00    mov         eax,dword ptr fs:[00000000h]  
01041375 50                   push        eax  
... ... 
0104139C 8D 45 F0             lea         eax,[ebp-10h]  
0104139F 64 A3 00 00 00 00    mov         dword ptr fs:[00000000h],eax  
010413A5 89 65 E8             mov         dword ptr [ebp-18h],esp  
 DWORD dwI;
 
 __try
010413A8 C7 45 FC 00 00 00 00 mov         dword ptr [ebp-4],0  
 {
  dwI = 0;
010413AF C7 45 E0 00 00 00 00 mov         dword ptr [ebp-20h],0

这段代码除了构建 SEH 链外,还做了其它的工作,实际上这些工作异常的复杂,关系到整个 SEH 体系的来笼去脉,但是这里只关注标准的 SEH 链构建模式:

  1. 压入 exception handler,在这里是 __except_handler4() 它是缺省的异常处理程序。

    0104136A 68 73 10 04 01       push        offset @ILT+110(__except_handler4) (1041073h)


  2. 压入前一个 TEB 值。

    0104136F 64 A1 00 00 00 00    mov         eax,dword ptr fs:[00000000h]  
    01041375 50                   push        eax  


  3. 设置 FS:[0] 值
    0104139C 8D 45 F0             lea         eax,[ebp-10h]  
    0104139F 64 A3 00 00 00 00    mov         dword ptr fs:[00000000h],eax  

当我们的程序退出时,编译器会做恢复 SEH 链处理:

010413E2 8B 4D F0             mov         ecx,dword ptr [ebp-10h]  
010413E5 64 89 0D 00 00 00 00 mov         dword ptr fs:[0],ecx 

在 [ebp-10h] 里就是放着前一个 SEH 链。


上一页  目录  下一页

版权 mik 所有,转载请注明出处!

 

cosmoslife
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MinGW x86-64-8.1.0-release-posix-seh-rt-v6-rev0
05-06
在压缩包文件名列表中的"x86_64-8.1.0-release-posix-seh-rt_v6-rev0"很可能包含了完整的MinGW-W64构建,包括编译器接器以及其他必要的工具和库。解压后,用户可以将这些文件安装到本地系统,配置环境变量,然后...
【逆向工程核心原理:SEH
qq_42363151的博客
05-21 1092
reverse
(笔记)逆向工程核心原理——SEH
qq_30101409的博客
12-19 419
SEH异常机制学习记录
SEH的介绍及实战
For Geek
05-08 9724
根据我们上节的异常讲解中,我们说过了SEH(Structured Exception Handler)是在无调试器接手的情况下,系统会遍历SE,然后寻找相应的SEH函数来处理异常。 首先稍微复习下我们的TEB kd> dt _teb ntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : ...
深入理解SEH
For Geek
05-08 1971
KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchExce...
软件漏洞分析入门(五)
SimoSimoSimo的博客
07-12 1172
异常处理机制简单来说,就是当异常发生的时候,系统先抛出异常,程序先检查一遍,看看自己有没有能处理这种异常的函数,能处理固然好,如果不能处理的话就继续传给系统,即默认异常处理,随机终止进程SEH,Structure Exception Handler,异常处理结构体,是一种 Windows 在异常处理中用到的一种数据结构。SEH 包含一个 SEH 表指针以及应该异常处理函数句柄,栈中的多个 SEH 通过表指针在栈内由栈顶向栈底串成单向表,位于表最顶端的 SEH 通过 TEB(线程环境块)0 字节偏移处
libcc-s-seh-1.dll(附安装教程)
08-15
2. **手动复制DLL**:从可靠的来源获取libcc_s_seh-1.dll文件,将其复制到系统目录(如`C:\Windows\System32`)或者程序的安装目录下。 3. **注册DLL**:在命令提示符中使用`regsvr32 libcc_s_seh-1.dll`命令进行...
qt编译运行找不到 libgcc-s-seh-1.dll
12-06
qt编译运行找不到 libgcc-s-seh-1.dll
x86_64-8.1.0-release-posix-seh-rt_v6-rev0.zip
07-03
总的来说,"x86_64-8.1.0-release-posix-seh-rt_v6-rev0.zip"是Mingw-w64的一个便携版发行,包含了GCC工具和运行时库,适用于64位Windows环境,支持POSIX异常处理和现代C++标准。如果你在开发跨平台软件或者需要在...
x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2
02-25
"x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2" 指的是一个针对x86_64架构的GCC编译器版本,该版本是12.2.0,定位为“release”发布版,具有POSIX线程(pthread)支持,使用SEH(结构化异常处理)机制,并且...
SEH stack 结构探索(1)---SEH 的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2279
SEH stack 结构探索(1)---SEH 的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
[原创]windows-SEH详解
whl0071的专栏
02-25 3944
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到) 1.SEH SEH是windows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。 2.OS异常处理的办法 2.1正常运行时候的异常处理方法 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...
SEH和展开操作
bingghost
01-28 3629
每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH   当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH,这些SEH中指定了多个回调函数,除他们以外,系统中可能还会存
攻击windows异常处理机制SEH
0pt1mus
05-23 1531
转载自个人博客0pt1mus 0x00 简介 本文主要有两个部分。第一部分介绍windows异常处理机制中的SEH,详细介绍SEH工作原理。第二部分介绍如何通过栈溢出实现利用SEH来绕过GS。 0x01 SEH(异常处理结构体) SEH的全称是Structure Exception Handler,翻译为异常处理结构体,它是Windows异常处理机制所采用的的重要数据结构。每个SEH结构体包含两个DWORD指针:SEH表指针和异常处理函数句柄,共八个字节。如下图: 对SEH的初步理解,我们要了解一下几
栈溢出中利用SEH
W Blog
12-15 5426
结构化异常处理(SEH)         操作系统或程序在运行,难免会遇到各种各样的错误,如除零,非法内存访问,文件打开错误,内存不足,磁盘读写错误,外设操作失败。为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行下去,windows会对运行在其中的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。 S.E.H即异常处理结构体(Structure Exception Handl
反调试—利用SEH
王二娃的生活的博客
08-03 2628
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
栈溢出笔记1.10 基于SEH的栈溢出
hustd10的博客
04-16 8761
上节中简单地讲述了SEH的原理及逻辑结构。本节,要继续讲述SEH的物理结构及如何利用它进行栈溢出。先来看SEH的物理结构。先回想上节中的图51,我们在程序停在gets函数输入的时候查看SEH,看到了一大堆异常处理器,而当我们把断点设置在gets函数下一条语句的时候,其中很多没有了,这给我们一个直观的感觉:SEH保存在栈上。下面,我们就来看看栈上的SEH。我们使用的是example_10,即添加
【VS开发】关于SEH的简单总结
ZhangPY的专栏
05-21 3915
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著   董岩 译
SEH原理剖析
mslieng1011的博客
11-05 1440
用户层数据结构 TEB TEB 第一个字段是NtTib,NtTib的第一个字段ExceptionList是一个表的头结点的首 地址. 当产生异常,系统会通过FS:[0]找到这个表,依次调用处理异常. typedef struct _EXCEPTION_REGISTRATION_RECORD{ struct _EXCEPTION_REGISTRATION_RECORD* next; //
mingw-w64 gcc-8.1.0 seh
最新发布
06-19
seh(Structured Exception Handling)是一种结构化异常处理机制,可以在程序运行过程中捕获并处理异常,保证程序的稳定性和安全性。 使用mingw-w64 gcc-8.1.0 seh可以方便地编写和调试C/C++程序,同时享受到GNU...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值