SHE

最新推荐文章于 2022-03-03 22:54:51 发布
最新推荐文章于 2022-03-03 22:54:51 发布
阅读量674 收藏
点赞数
分类专栏: Windows编程

typedef struct _EXCEPTION_REGISTRATION_RECORD
{
    struct _EXCEPTION_REGISTRATION_RECORD * pNext;
    FARPROC                                 pfnHandler;
} EXCEPTION_REGISTRATION_RECORD, *PEXCEPTION_REGISTRATION_RECORD;


FS:[0]中的指针是指向_EXCEPTION_REGISTRATION_RECORD首部的指针。对应地,每个结

构体在pNext域中包含着指向下一个结构体的指针和指向回调函数pfnHandler的指针。不
难猜到,这就是异常处理的处理程序。函数的原型如下:

EXCEPTION_DISPOSITION   __cdecl _except_handler(
    struct _EXCEPTION_RECORD *ExceptionRecord,
    void * EstablisherFrame,
    struct _CONTEXT *ContextRecord,
    void * DispatcherContext

);

我们来分析函数的参数。第一个参数是指向下面结构体的指针。

typedef struct _EXCEPTION_RECORD {

  DWORD ExceptionCode;

  DWORD ExceptionFlags;

  struct _EXCEPTION_RECORD *ExceptionRecord;

  PVOID ExceptionAddress;

  DWORD NumberParameters;

  DWORD ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];

} EXCEPTION_RECORD;


ExceptionCode是Windows NT的异常代号。异常在NTSTATUS.H文件中被描述为STATUX_xx
xxxx

:  ExceptionAddres - 发生异常的地址。

第三个参数是指向CONTEXT结构体的指针。

typedef struct _CONTEXT

{

  DWORD ContextFlags;

  DWORD Dr0;

  DWORD Dr1;

  DWORD Dr2;

 :.

 DWORD Esp;

 DWORD SegSs;

} CONTEXT;


这个结构体定义于WINNT.H文件。其意义是不言而喻的,这里就不全写了。函数返回下面
枚举类型值中的一个:

typedef enum _EXCEPTION_DISPOSITION {

    ExceptionContinueExecution,

    ExceptionContinueSearch,

    ExceptionNestedException,

    ExceptionCollidedUnwind

} EXCEPTION_DISPOSITION;

ExceptionFlags定义了下面的位标志:

#define EH_NONCONTINUABLE   1

#define EH_UNWINDING        2

#define EH_EXIT_UNWIND      4

#define EH_STACK_INVALID    8

#define EH_NESTED_CALL   0x10

在发生异常时,控制传递到ntoskrnl.exe中相应的处理程序。例如,如果试图下面这段
代码:

mov eax,80100000h

mov dword ptr [eax],0

这会引发异常0e,控制传递向处理程序KiTrap0E,堆栈中错误号为07(试图在用户模式
下向内核写入。该页位于内存中,因为线性地址80100000h是内核加载的起始地址)。之
后,控制传递到ntdll.dll,在这里解析线程的TEB并顺次执行链表中所有的处理程序,
直到某个函数的返回代号不是ExceptionContinueSearch。在此之后,再次调用链表中的
所有处理函数,直到找到某个函数,但这次用的是另外一个代号ExceptionCode(STATU
S_UNWIND)并在ExceptionFlags设置位EH_UNWINDINGS。这个标志用于异常处理,进行堆
栈的清除和其它必要的工作。如果没有一个处理程序能处理,则就来到链表中最后一个
处理程序,由Win32子系统建立的处理程序。这个处理程序是如何被建立的以及建立在哪
里在以后研究CreateProcessW函数时会讲到。关于异常处理的完整介绍可以从MSDN获得
,因为在反汇编源代码中所得到的是扩大化了的异常处理机制(更高层次的机制)。
cosmoslife
关注
专栏目录
深入研究Win32结构化异常处理(SEH总结篇)
04-07 8162
深入研究Win32结构化异常处理(SEH总结篇) 本文假设你熟悉WIN32,C/C++。引言: 本文是在《Win32 结构化异常处理(SEH)探秘》基础上做的更新总结。探索MS C/C++编译器和MS核心DLL在操作系统SEH上的不同扩展,逐个分析其内部采用的数据结构及处理流程。 摘要:     Win32 结构化异常处理其核心是操作系统提供的服务,特定的编
Windows异常世界历险记(一)——Windows系统用户级结构化异常处理机制(SEH)的基础知识和Unwind展开操作
LPWSTR的博客
12-04 1404
Windows系统的用户级结构化异常处理机制(SEH)是基于线程的,因此可为不同的线程指派不同的异常处理函数。且由于其形成了链结构,还可据此为一个线程指定多个异常处理函数,异常发生后,操作系统会沿此链表调用各异常处理函数,直到某个异常处理函数修复了该异常或已达末尾。通常处理完异常后,需要执行展开(Unwind)操作,该操作先通知目标结点前的各异常处理函数释放资源,然后将之前的SEH链全部删除。
she编程执行方式
chonghu5376的博客
06-29 265
在一个脚本中怎么调用其他的脚本呢?有三种方式,分别是fork、source和exec。 1. fork 即通过sh 脚本名进行执行脚本的方式。下面通过一个简单的例子来讲解下它的特性。 创建father.sh,内容如下: #!/bin/bashecho "父shell进程开始执行"sh...
SEH异常机制杂记
weixin_30549175的博客
11-09 202
最近因为工作需要,简单的学习了一下SEH的异常处理机制和使用方法。 小结如下: 一、什么是SEH? SEH("Structured Exception Handling"),即结构化异常处理,是微软在Windows系统中引入的异常处理机制。与C++的try…catch…类似,但是更强大更全面一些。 二、为什么要使用SEH? 因为使用了不可靠的代码,可能会出现指针越界、访问了非...
顺序表、链表、散列表
aijiashe0835的博客
08-14 344
线性储存的两种方式:顺序表和链表 顺序表 将元素顺序地存放在一块连续的存储区里,元素间的顺序关系由它们的存储顺序自然表示 顺序表的两种基本实现方式 1. 一体式结构 2. 分离式结构 链表 将元素存放在通过链接构造起来的一系列存储块中 链表与顺序表的操作复杂度 填装因子 填装因子 = 散列包含的元素数 / 位置总数 • 可以使用散列函数和数组来创建散列表 • 散列表适合模拟映射关...
利用she文件制作皮肤模块(无声)
06-06
我们以she皮肤文件来制作。工具:。易语言。SkinH_EL.dll。she皮肤文件。我打字本来就慢,加上不小心打断右手的骨头,所以打字的速度可能有点悲剧。。。。那么我尽量不多打字,其实也很简单,只要会调用API的人都会...
SHE_MemoryUpdateProtocol:SHE(安全硬件扩展)规范中指定的密钥存储器更新协议的实现
04-18
SHE内存更新协议在Python中的实现》 SHE(Secure Hardware Extension,安全硬件扩展)是一种先进的技术,它为计算平台提供了硬件级别的安全保障,尤其是在密钥管理和数据加密方面。SHE_MemoryUpdateProtocol是一...
MIKE SHE 分布式水文模型培训教程.pdf
11-02
MIKE SHE是一款综合性的分布式水文模型,由丹麦水力研究所(DHI)开发。它的设计目的是模拟和分析水文循环中的各种过程,包括但不限于蒸散发、地表径流、非饱和流、地下水流和明渠流。MIKE SHE特别适用于模拟复杂的...
易语言 粉色Q友乐园版she皮肤
05-29
粉色Q友乐园版she皮肤是针对易语言开发环境设计的一种个性化界面皮肤,它由用户@BabyBear创作,为编程环境带来了独特的视觉体验。 “SanYe”在标签中出现,可能是指易语言中的一个著名开发者或社区,SanYe可能是一...
she皮肤资源(内置she皮肤查看器).rar
05-17
内置she格式皮肤资源查看,可实时查看窗体效果,省时省心! 内置37款 软件皮肤,让你的软件看起来更高大上! 适用于各大平台,(可用于易语言、VB、VC、C#) 我找了好久才找到了,现在跟大家分享一下,款款都是最经典的...
深入探索Win32结构化异常处理
ldh_cq的专栏
10-21 483
在Win32操作系统提供的所有功能中,使用最广泛而又没有公开的恐怕要数结构化异常处理( Structured Exception Handling ,SEH ) 了。当你考虑Win32结构化异常处理时,也许会想到__try、__finally和__except等术语。可能你在任何一本讲解Win32的好书上 都能找到关于SEH较为详细的描述,甚至Win32 SDK文档也对使用__try、__fi
我理解的windows异常处理
要饭's Blog
07-01 1347
申明:    1.本文大部份内容参考《A Crash Course on the Depths of Win32 Structured Exception Handling》,我只是对顺序进行了一些调整,同时加入了一些我的理解,所以不敢自称原创。    2.结构定义位置中的X:指的是VC6.0的安装盘符。    首先,当线程发生异常时,操作系统会将这个异常通知给用户使用户能够得知它的发生。更特别的
-异常处理-
weixin_52369224的博客
03-03 635
简介: 异常分为俩种,CPU产生的异常(除0,缺页)和软件模拟产生的异常 来自《加密与解密》 SEH: SEH是Windows操作系统提供的异常处理机制,在程序源代码中使用_try、__except、_finally关键字来具体实现。 TEB/T: typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; //异常的链表 PVOID StackBase;
Using the Windows Debugger: Some Handy/Fun/Clever Debugger Commands
01-28 2955
Christmas time is here, by golly. (Disapproval would be folly; apologies to Tom Lehrer.) I was planning to do a tutorial on assembly language and call stacks this time, but it seems like the wrong tim
JIURL玩玩Win2k内存篇 分页机制 (三)
jiurl的专栏
08-18 1898
JIURL玩玩Win2k内存篇 分页机制 (三)作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30 8种转换由于页表被映射到了0xc0000000 开始的4MB地址空间。所以我们也可以象CPU那样完成虚拟地址
5.内存断点
My classmates
11-03 596
原理就是对所设地址的属性设置为不可读不可写属性,这样当这个地址被访问或写入就会产生异常。 //改变内存地址内存页的属性 BOOL VirtualProtectEx( IN HANDLE hProcess,// 要修改内存的进程句柄 IN LPVOID lpAddress,// 要修改内存的起始地址 IN SIZE_T dwSize,// 页区域大小 IN DWORD flNewPr...
Windows核心编程笔记(十八) SEH结构化异常 一
春暖花开
02-08 1687
23.1 基础知识 23.1.1 Windows下的软件异常 (1)中断和异常   ①中断是由外部硬件设备或异步事件产生的   ②异常是由内部事件产生的,可分为故障、陷阱和终止三类。 (2)两种异常处理机制:SEH和VEH(WindowsXP以上新引进) (3)结构化异常处理(SEH)是Windows操作系统提供的强大异常处理功能。而Visual C++中的__
地址转译的相关问题(四)
商少
03-24 918
各种页面错误及其处理 我们都知道,地址的转译需要如下的PTE 结构 第一篇文章我们看到了正常的地址转译过程v 位总是为1,即PTE 有效,但是,虚拟地址到物理地址的转译并不总是这样的正常流程。当产生页面错误异常(14号),异常的陷阱处理器(_KiTrap0E函数)首先构造一个陷阱帧,然后把控制权交给内存管理器的MmAccessFault 函数。如果MmAccessFault 函数能能够解决
SEH异常处理机制
谈成(C/C++)
04-12 1836
1.SEH是windows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
SHE Oracle漏洞
最新发布
02-19
SHE Oracle漏洞是一种安全漏洞,它影响了Oracle数据库系统。该漏洞的全称是"Server-Side Template Injection in Oracle Hospitality Suite",简称为SHE Oracle漏洞。 该漏洞的原理是在Oracle Hospitality Suite...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值