SEH stack 结构探索(4)--- __exception_handler4() 探秘2之 scopetable 结构

最新推荐文章于 2022-04-22 23:20:18 发布
最新推荐文章于 2022-04-22 23:20:18 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 结构化异常处理(SEH)机制探索 文章标签: exception security struct report c function

SEH stack 结构探索(4)--- __exception_handler4() 探秘2之 scopetable 结构

现在我们来继续分析 __exception_handler4_common() 的代码

我们来看看在 WinDbg 里显示的 __exception_handler4_common() 原型:

0:000:x86> x MSVCR100D!*handler4_comm*
00f72440 MSVCR100D!_except_handler4_common (unsigned int *<function> *, struct _EXCEPTION_RECORD *, struct _EXCEPTION_REGISTRATION_RECORD *, struct _CONTEXT *, void *)

正如前一篇所说的,它的前面两个参数是 __exception_handler4() 传过来的 &__security_check_cookie 和 &__security_cookie 它们是地址值。

  • &__security_cookie 是一个 cookie 值
  • &__security_check_cookie 却是一个函数

我们的注意力就放在这个 security_check_cookie 函数上,接着看代码:

01152465 8b55e0          mov     edx,dword ptr [ebp-20h]
01152468 8b4508          mov     eax,dword ptr [ebp+8]            ; &__security_cookie
0115246b 8b4a10          mov     ecx,dword ptr [edx+10h]          ; get ExceptionFilter
0115246e 3308            xor     ecx,dword ptr [eax]              ; __security_cookie XOR ExceptionFilter
01152470 894dd4          mov     dword ptr [ebp-2Ch],ecx          ; get scopetable

01152473 8b55e8          mov     edx,dword ptr [ebp-18h]          ; ebp
01152476 52              push    edx
01152477 8b45d4          mov     eax,dword ptr [ebp-2Ch]          ; scopetable
0115247a 50              push    eax
0115247b 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]           ; &__security_check_cookie
0115247e 51              push    ecx
0115247f e88c010000      call    MSVCR100D!ValidateLocalCookies (01152610)
01152484 83c40c          add     esp,0Ch

代码中的 [edx+10] 是从 esp 位置加上 10h 获得 SEH stack 中的 ExceptionFilter 位置,然后与取出来 __security_cookie 值进行异域处理后,保存在 [ebp-2Ch] 位置上

__security_cookie 与 ExceptionFilter 异域得到的是一个 scopetable 位置值,也就是 [ebp-2Ch] 存放着 sceopetable 表指针值。

如何见得:得到的是一个 scopetable,看看 MSVCR100D!ValidateLocalCookies() 的原型就知道了:

0:000:x86> x MSVCR100D!ValidateLocalCookies
6d802610 MSVCR100D!ValidateLocalCookies (<function> *, struct _EH4_SCOPETABLE *, char *)

这个函数的第 2 个参数就是 struct _EH4_SCOPETABLE 指针值,传给这个函数的第 2 个参数就是 [ebp-2Ch] 值

现在我们来看看 _EH4_SCOPETABLE 结构是怎样的,WinDbg 下显示:

0:000:x86> dt _EH4_SCOPETABLE 
MSVCR100D!_EH4_SCOPETABLE
   +0x000 GSCookieOffset   : Uint4B
   +0x004 GSCookieXOROffset : Uint4B
   +0x008 EHCookieOffset   : Uint4B
   +0x00c EHCookieXOROffset : Uint4B
   +0x010 ScopeRecord      : [1] _EH4_SCOPETABLE_RECORD

用 C 描述为:

struct _EH4_SCOPETABLE {
 UINT GSCookieOffset;
 UINT GSCookieXOROffset;
 UINT EHCookieOffset;
 UINT EHCookieXOROffset;
 _EH4_SCOPETABLE_RECORD ScopeRecord[1];
};

代码将 FramePointer(ebp),ScopeTable 和 __security_check_cookie 3个参数传给 ValidateLocalCookies() 函数来检测 cookie

ValidateLocalCookies() 的第1个参数是个函数,这个函数用来检测 cookie 值。

下面我们来看看 ValidateLocalCookies() 的代码:

MSVCR100D!ValidateLocalCookies:
6d802610 8bff            mov     edi,edi
6d802612 55              push    ebp
6d802613 8bec            mov     ebp,esp
6d802615 83ec08          sub     esp,8
6d802618 8b450c          mov     eax,dword ptr [ebp+0Ch]                ; scopetable
6d80261b 8338fe          cmp     dword ptr [eax],0FFFFFFFEh             ; GSCookieOffset
6d80261e 7423            je      MSVCR100D!ValidateLocalCookies+0x33 (6d802643)

MSVCR100D!ValidateLocalCookies+0x10:
6d802620 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]
6d802623 8b11            mov     edx,dword ptr [ecx]                    ; get GSCookieOffset
6d802625 8b4510          mov     eax,dword ptr [ebp+10h]                ; FramePointer
6d802628 8b0c10          mov     ecx,dword ptr [eax+edx]                ; [FramePointer+GSCookieOffset]
6d80262b 894df8          mov     dword ptr [ebp-8],ecx                  ; [GSCookie]
6d80262e 8b550c          mov     edx,dword ptr [ebp+0Ch]
6d802631 8b4510          mov     eax,dword ptr [ebp+10h]
6d802634 034204          add     eax,dword ptr [edx+4]                  ; FramePointer+GSCookieXOROffset
6d802637 3345f8          xor     eax,dword ptr [ebp-8]
6d80263a 8945f8          mov     dword ptr [ebp-8],eax
6d80263d 8b4df8          mov     ecx,dword ptr [ebp-8]
6d802640 ff5508          call    dword ptr [ebp+8]


MSVCR100D!ValidateLocalCookies+0x33:
6d802643 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]                ; scopetable
6d802646 8b5108          mov     edx,dword ptr [ecx+8]                  ; get EHCookieOffset
6d802649 8b4510          mov     eax,dword ptr [ebp+10h]                ; FramePointer
6d80264c 8b0c10          mov     ecx,dword ptr [eax+edx]                ; [FramePointer+EHCookieOffset]
6d80264f 894dfc          mov     dword ptr [ebp-4],ecx                  ; [EHCookie]
6d802652 8b550c          mov     edx,dword ptr [ebp+0Ch]
6d802655 8b4510          mov     eax,dword ptr [ebp+10h]
6d802658 03420c          add     eax,dword ptr [edx+0Ch]                ; FramePointer+EHCookieXOROffset
6d80265b 3345fc          xor     eax,dword ptr [ebp-4]
6d80265e 8945fc          mov     dword ptr [ebp-4],eax
6d802661 8b4dfc          mov     ecx,dword ptr [ebp-4]
6d802664 ff5508          call    dword ptr [ebp+8]                      ; __security_check_cookie
6d802667 8be5            mov     esp,ebp
6d802669 5d              pop     ebp
6d80266a c3              ret

这个函数很简单,我将它还原 C 描述,大概是这样:

ValidateLocalCookie(void(*FUN_PTR)(unsigned int), struct _EH4_SCOPETABLE *ScopeTable, char *FramePointer)
{
        UINT EHCookie;
        UINT GSCookie;

        if (ScopeTable->GSCookieOffset == 0xFFFFFFFE) {
        /* EHCookie */
                EHCookie = *(UINT*)((UINT)FramePointer + ScopeTable->EHCookieOffset);
                EHCookie ^= FramePointer + ScopeTable->EHCookieXOROffset;
                (*FUN_PTR)(EHCookie);
        } else {
        /* GSCookie */
                GSCookie = *(UINT*)((UINT)FramePointer + ScopeTable->GSCookieOffset);
                GSCookie ^= FramePointer + ScopeTable->GSCookieXOROffset;
                (*FUN_PTR)(GSCookie);
        }
}

代码产生了 cookie 值,将这个 cookie 值传给 __security_check_cookie 函数进行比较,这个 __security_check_cookie 实际上是 VC++ 编译用户程序的安插的:

我的程序名是 seh1,因此在我的测试下,将会是:seh1!__security_check_cookie() 它已经是用户的代码了,而不是运行库代码。

seh1!__security_check_cookie:
   52 00ac1a00 3b0d0070ac00    cmp     ecx,dword ptr [seh1!__security_cookie (00ac7000)]
   56 00ac1a06 7502            jne     seh1!__security_check_cookie+0xa (00ac1a0a)

   57 00ac1a08 f3c3            rep ret

   59 00ac1a0a e973f6ffff      jmp     seh1!ILT+125(___report_gsfailure) (00ac1082)

这个代码很简单,就是比较产生的 cookie 值与用户程序的 cookie 值是否一样,不一样的话,就跳转到 __report_gsfailure 点进行报告错误。

现在回过头来看看这个 seh1!__security_cookie (00ac7000) 是何方神圣?这个 seh1__security_cookie 在用户代码 __try{} 之前构造 SEH 结构时出现过:

00ac1391 a10070ac00      mov     eax,dword ptr [seh1!__security_cookie (00ac7000)]
00ac1396 3145f8          xor     dword ptr [ebp-8],eax
00ac1399 33c5            xor     eax,ebp
00ac139b 50              push    eax
00ac139c 8d45f0          lea     eax,[ebp-10h]
00ac139f 64a300000000    mov     dword ptr fs:[00000000h],eax
00ac13a5 8965e8          mov     dword ptr [ebp-18h],esp

于是我们对 SEH stack 又进一步增加认识了:

 

上一页  目录  下一页

版权 mik 所有,转载请注明出处!

 

cosmoslife
关注
专栏目录
x86_64-8.1.0-win32-seh-rt_v6-rev0.zip
07-06
标题 "x86_64-8.1.0-win32-seh-rt_v6-rev0.zip" 暗示的是一个针对x86_64架构的MinGW-w64工具链的发行版,版本号为8.1.0,用于在Windows 64位操作系统上编译C和C++源代码。这个压缩包是专门设计来生成64位Windows可...
逆向分析MSVCR90D.dll!_except_handler4_common函数
04-04 5180
引言:_except_handler4_common执行_except_handler4转发而来的异常处理。102DCA80 _EXCEPTION_DISPOSITION __cdecl _except_handler4_common(102DCA80 unsigned int *CookiePointer, 102DCA80 void (__fastcall *C
无法定位程序输入点_except_handler4_common于动态链接库msvcrt.dll上
热门推荐
ATMCash4423的专栏
05-03 1万+
无法定位程序输入点_except_handler4_common于动态链接库msvcrt.dll上解决方式如下: 这是由于sp3加载的驱动造成的;只需要将C:\WINDOWS\system32\dwmapi.dll重新命名一下即可以解决。 原因: 浅谈Windows环境软件故障调试与分析 大家好,我是Eric,今天,我将与大家一起分享一个软件故障的调试与分析案例,希望给大家提供一个解决Wi
SEH stack 结构探索(3)--- __exception_handler4() 探秘1
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1637
SEH stack 结构探索(3)--- __exception_handler4() 探秘1 在我的环境里,用户的缺省的 exception handler 是 MSVCR100D!_except_handler4(),它是 VC/C++ 的调试版本运行库里的函数,当然如果是发行版的话是MSVCR100!_except_handler4() 在 WinNT.h 里定义的 exceptio
error LNK2019: 无法解析的外部符号 __except_handler4_common
大坡3D软件开发
10-31 7734
4>MSVCRTD.lib(chandler4gs.obj) : error LNK2019: 无法解析的外部符号 __except_handler4_common,该符号在函数 __except_handler4 中被引用 最近在编译一个开源的工程时,发现出这个提示,导致执行文件不能生成。后来仔细地查看一下原因,原是由于有一些库是使用MD的代码生成,而另外全部是使用Mtd的代码生成,这样...
编译x86版本的zlib提示error LNK2019: 无法解析的外部符号 __except_handler4_common
gb173652770的专栏
01-13 1142
zlib
VS2015 MSVCRTD.lib(_chandler4gs_.obj) : error LNK2019: unresolved external symbol __except_handler4_...
06-22 537
今天在VS2015中用编译好的QT5静态库打包软件,配置好QT的静态环境后, 发现报MSVCRTD.lib(_chandler4gs_.obj) : error LNK2019: unresolved external symbol __except_handler4_common referenced in function __except_handler4 错误,显然__exc...
x86_64-8.1.0-release-win32-seh-rt_v6-rev0.rar
11-14
标题 "x86_64-8.1.0-release-win32-seh-rt_v6-rev0.rar" 暗示了这是一个针对x86_64架构的编译器或开发环境的下载包,版本号为8.1.0,并且是针对Windows 32位系统(尽管它本身是64位程序)的,具有结构化异常处理...
x86_64-8.1.0-release-posix-seh-rt_v6-rev0.zip
07-03
"posix-seh"表示这个Mingw-w64版本使用了Windows的结构化异常处理(Structured Exception Handling, SEH),而不是传统的Unix/Linux信号处理机制。SEH在Windows上提供了更高效且兼容性更好的异常处理机制。 **RT_v6...
x86_64-5.4.0-release-posix-seh-rt_v5-rev0
06-05
标题 "x86_64-5.4.0-release-posix-seh-rt_v5-rev0" 和描述 "mingw-w64, x86_64-5.4.0, x86_64-5.4.0-release-posix-seh-rt_v5-rev0" 提供了关于一个特定的编译器版本和环境的信息。这个环境是为Windows平台上的64位...
X86_64-8.1.0-release-posix-seh-rt_v6_rev0.7z
08-17
MinGW-W64的64位安装包: X86_64-8.1.0-release-posix-seh-rt_v6_rev0.7z 支持GCC8.1.0, 解压后即可使用。 利用下载工具下载的也是此压缩包,然后解压缩而已。 方便没梯子的!!!!
html里tablescope,HTML表格的运用
weixin_35009537的博客
06-17 853
table元素的简介table标签下,通常包含caption(表格的标题),thead, tbody, tfoot,三个部分,如下表格所示:MonthSavingsSum$180January$100February$80 MonthSavingsSum$180January$100February$80table可以通过属性来定义它的样式,但是一般不推荐这样做,最好是通过CSS来完成样式的...
error LNK2019: 无法解析的外部符号 __except_handler4_common,该符号在函数 __except_handler4 中被引用
fly_gogo的专栏
04-18 7636
error LNK2019: 无法解析的外部符号 __except_handler4_common,该符号在函数 __except_handler4 中被引用 开发环境:VS2017 V141 ; 平台工具集:Visual Studio 2017 - Windows XP (v141_xp) 语言:C++ 项目类型:DirectShow 解决方法: 增加“附件依赖项”MSVCRT...
VUE.SCOPE的使用(如何将table中某行作为参数传入函数)
码农邦的博客
04-22 3681
如何将table中某行作为参数传入函数
Windows的一些溢出题目
qq_41071646的博客
09-23 510
题目的来源是 微软杯Exploit Me安全调试技术挑战赛 赛题 题目下载链接 https://bbs.pediy.com/thread-133191.htm 辞旧迎新exploit me挑战赛 题目下载链接 https://bbs.pediy.com/thread-57317.htm 其实题目都没有什么好说的== 都是一些很老的题目=== 纯粹的是当作萌新练手...
图解VS2010打包(含卸载)及出现无法定位程序输入点_except_handler4_common于动态链接库msvcrt.dll上问题的解决
xiebingsuccess的博客
06-13 1922
原文地址链接:我的163博客 最近一段时间用VS2010做了几个生产上用到的测试工具,经常需要制作安装程序,所以在网上收集了关于VS2010制作安装程序的资料,方便自己查阅! 首先打开已经完成的工程,如图: 下面开始制作安装程序包。 第一步:[文件]——[新建]——[项目]——安装项目。 名称——可以自己根据要求修改。 位置——是指你要制作的安装文件存放在什么目录内,可以根...
逆向分析MSVCR90D.dll!_except_handler4函数
04-03 2365
引言:MSVCR90D.dll!_except_handler4函数是C/C++运行库自动生成的异常处理函数。004114A0 _EXCEPTION_DISPOSITION __cdecl _except_handler4(004114A0 _EXCEPTION_RECORD *ExceptionRecord,004114A0 _EXCEPTION_REGISTRA
解决 Unexpected AOP exception; nested exception is java.lang.IllegalStateException: Unable to load..错误
BUG粉碎机
03-14 1万+
错误日志: nested exception is org.springframework.aop.framework.AopConfigException: Unexpected AOP exception; nested exception is java.lang.IllegalStateException: Unable to load cache item at org.springframework.beans.factory.support.AbstractAutowireCapableB
Exception处理机制、Exception Handler三种方法
FixedStar 的博客
04-16 5198
Throwable、Exception、Error The Throwable class is the superclass of all errors and exceptions in the Java language. An Error is a subclass of Throwable that indicates serious problems that a reasonab...
x86_64-12.2.0-release-win32-seh-rt_v10-rev1.7z 下载
最新发布
08-19
x86_64-12.2.0-release-win32-seh-rt_v10-rev1.7z 是一个文件的名称,它很可能是一个软件或驱动的安装文件。这个文件的格式是.7z,这代表它是一个7-Zip压缩文件。 要下载这个文件,首先需要在互联网上找到它的来源。你可以尝试通过搜索引擎输入文件名,看看是否能找到提供这个文件下载的网站或资源。 一旦找到了一个可靠的来源,你可以点击下载链接或按钮来开始下载。下载过程可能需要时间,具体时间取决于你的网络速度以及文件的大小。如果你的网络连 接不稳定,下载可能会在中途中断。为了确保下载完整,可以考虑使用下载管理器软件来管理下载过程,并在需要时恢复中断的下载。 下载完成后,你将在你指定的下载目录或文件保存位置找到x86_64-12.2.0-release-win32-seh-rt_v10-rev1.7z文件。此时,你可以双击该文件来解压缩它,并获得其中的安装文件。请按照安装文件的说明进行安装。 下载和安装软件时,请确保从官方或可信赖的来源获取文件,以确保文件的完整性和安全性。在下载和安装之前,最好备份你的计算机数据,以防止意外数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值