SHE

最新推荐文章于 2022-03-03 22:54:51 发布
最新推荐文章于 2022-03-03 22:54:51 发布
阅读量676 收藏
点赞数
分类专栏: Windows编程

typedef struct _EXCEPTION_REGISTRATION_RECORD
{
    struct _EXCEPTION_REGISTRATION_RECORD * pNext;
    FARPROC                                 pfnHandler;
} EXCEPTION_REGISTRATION_RECORD, *PEXCEPTION_REGISTRATION_RECORD;


FS:[0]中的指针是指向_EXCEPTION_REGISTRATION_RECORD首部的指针。对应地,每个结

构体在pNext域中包含着指向下一个结构体的指针和指向回调函数pfnHandler的指针。不
难猜到,这就是异常处理的处理程序。函数的原型如下:

EXCEPTION_DISPOSITION   __cdecl _except_handler(
    struct _EXCEPTION_RECORD *ExceptionRecord,
    void * EstablisherFrame,
    struct _CONTEXT *ContextRecord,
    void * DispatcherContext

);

我们来分析函数的参数。第一个参数是指向下面结构体的指针。

typedef struct _EXCEPTION_RECORD {

  DWORD ExceptionCode;

  DWORD ExceptionFlags;

  struct _EXCEPTION_RECORD *ExceptionRecord;

  PVOID ExceptionAddress;

  DWORD NumberParameters;

  DWORD ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];

} EXCEPTION_RECORD;


ExceptionCode是Windows NT的异常代号。异常在NTSTATUS.H文件中被描述为STATUX_xx
xxxx

:  ExceptionAddres - 发生异常的地址。

第三个参数是指向CONTEXT结构体的指针。

typedef struct _CONTEXT

{

  DWORD ContextFlags;

  DWORD Dr0;

  DWORD Dr1;

  DWORD Dr2;

 :.

 DWORD Esp;

 DWORD SegSs;

} CONTEXT;


这个结构体定义于WINNT.H文件。其意义是不言而喻的,这里就不全写了。函数返回下面
枚举类型值中的一个:

typedef enum _EXCEPTION_DISPOSITION {

    ExceptionContinueExecution,

    ExceptionContinueSearch,

    ExceptionNestedException,

    ExceptionCollidedUnwind

} EXCEPTION_DISPOSITION;

ExceptionFlags定义了下面的位标志:

#define EH_NONCONTINUABLE   1

#define EH_UNWINDING        2

#define EH_EXIT_UNWIND      4

#define EH_STACK_INVALID    8

#define EH_NESTED_CALL   0x10

在发生异常时,控制传递到ntoskrnl.exe中相应的处理程序。例如,如果试图下面这段
代码:

mov eax,80100000h

mov dword ptr [eax],0

这会引发异常0e,控制传递向处理程序KiTrap0E,堆栈中错误号为07(试图在用户模式
下向内核写入。该页位于内存中,因为线性地址80100000h是内核加载的起始地址)。之
后,控制传递到ntdll.dll,在这里解析线程的TEB并顺次执行链表中所有的处理程序,
直到某个函数的返回代号不是ExceptionContinueSearch。在此之后,再次调用链表中的
所有处理函数,直到找到某个函数,但这次用的是另外一个代号ExceptionCode(STATU
S_UNWIND)并在ExceptionFlags设置位EH_UNWINDINGS。这个标志用于异常处理,进行堆
栈的清除和其它必要的工作。如果没有一个处理程序能处理,则就来到链表中最后一个
处理程序,由Win32子系统建立的处理程序。这个处理程序是如何被建立的以及建立在哪
里在以后研究CreateProcessW函数时会讲到。关于异常处理的完整介绍可以从MSDN获得
,因为在反汇编源代码中所得到的是扩大化了的异常处理机制(更高层次的机制)。
cosmoslife
关注
专栏目录
深入研究Win32结构化异常处理(SEH总结篇)
04-07 8168
深入研究Win32结构化异常处理(SEH总结篇) 本文假设你熟悉WIN32,C/C++。引言: 本文是在《Win32 结构化异常处理(SEH)探秘》基础上做的更新总结。探索MS C/C++编译器和MS核心DLL在操作系统SEH上的不同扩展,逐个分析其内部采用的数据结构及处理流程。 摘要:     Win32 结构化异常处理其核心是操作系统提供的服务,特定的编
Windows异常世界历险记(一)——Windows系统用户级结构化异常处理机制(SEH)的基础知识和Unwind展开操作
LPWSTR的博客
12-04 1408
Windows系统的用户级结构化异常处理机制(SEH)是基于线程的,因此可为不同的线程指派不同的异常处理函数。且由于其形成了链结构,还可据此为一个线程指定多个异常处理函数,异常发生后,操作系统会沿此链表调用各异常处理函数,直到某个异常处理函数修复了该异常或已达末尾。通常处理完异常后,需要执行展开(Unwind)操作,该操作先通知目标结点前的各异常处理函数释放资源,然后将之前的SEH链全部删除。
she编程执行方式
chonghu5376的博客
06-29 269
在一个脚本中怎么调用其他的脚本呢?有三种方式,分别是fork、source和exec。 1. fork 即通过sh 脚本名进行执行脚本的方式。下面通过一个简单的例子来讲解下它的特性。 创建father.sh,内容如下: #!/bin/bashecho "父shell进程开始执行"sh...
SEH异常机制杂记
weixin_30549175的博客
11-09 205
最近因为工作需要,简单的学习了一下SEH的异常处理机制和使用方法。 小结如下: 一、什么是SEH? SEH("Structured Exception Handling"),即结构化异常处理,是微软在Windows系统中引入的异常处理机制。与C++的try…catch…类似,但是更强大更全面一些。 二、为什么要使用SEH? 因为使用了不可靠的代码,可能会出现指针越界、访问了非...
顺序表、链表、散列表
aijiashe0835的博客
08-14 344
线性储存的两种方式:顺序表和链表 顺序表 将元素顺序地存放在一块连续的存储区里,元素间的顺序关系由它们的存储顺序自然表示 顺序表的两种基本实现方式 1. 一体式结构 2. 分离式结构 链表 将元素存放在通过链接构造起来的一系列存储块中 链表与顺序表的操作复杂度 填装因子 填装因子 = 散列包含的元素数 / 位置总数 • 可以使用散列函数和数组来创建散列表 • 散列表适合模拟映射关...
利用she文件制作皮肤模块(无声)
06-06
我们以she皮肤文件来制作。工具:。易语言。SkinH_EL.dll。she皮肤文件。我打字本来就慢,加上不小心打断右手的骨头,所以打字的速度可能有点悲剧。。。。那么我尽量不多打字,其实也很简单,只要会调用API的人都会...
SHE_MemoryUpdateProtocol:SHE(安全硬件扩展)规范中指定的密钥存储器更新协议的实现
04-18
SHE内存更新协议在Python中的实现》 SHE(Secure Hardware Extension,安全硬件扩展)是一种先进的技术,它为计算平台提供了硬件级别的安全保障,尤其是在密钥管理和数据加密方面。SHE_MemoryUpdateProtocol是一...
MIKE SHE 分布式水文模型培训教程.pdf
11-02
MIKE SHE是一款综合性的分布式水文模型,由丹麦水力研究所(DHI)开发。它的设计目的是模拟和分析水文循环中的各种过程,包括但不限于蒸散发、地表径流、非饱和流、地下水流和明渠流。MIKE SHE特别适用于模拟复杂的...
易语言 粉色Q友乐园版she皮肤
05-29
粉色Q友乐园版she皮肤是针对易语言开发环境设计的一种个性化界面皮肤,它由用户@BabyBear创作,为编程环境带来了独特的视觉体验。 “SanYe”在标签中出现,可能是指易语言中的一个著名开发者或社区,SanYe可能是一...
she皮肤资源(内置she皮肤查看器).rar
05-17
内置she格式皮肤资源查看,可实时查看窗体效果,省时省心! 内置37款 软件皮肤,让你的软件看起来更高大上! 适用于各大平台,(可用于易语言、VB、VC、C#) 我找了好久才找到了,现在跟大家分享一下,款款都是最经典的...
深入探索Win32结构化异常处理
ldh_cq的专栏
10-21 487
在Win32操作系统提供的所有功能中,使用最广泛而又没有公开的恐怕要数结构化异常处理( Structured Exception Handling ,SEH ) 了。当你考虑Win32结构化异常处理时,也许会想到__try、__finally和__except等术语。可能你在任何一本讲解Win32的好书上 都能找到关于SEH较为详细的描述,甚至Win32 SDK文档也对使用__try、__fi
我理解的windows异常处理
要饭's Blog
07-01 1349
申明:    1.本文大部份内容参考《A Crash Course on the Depths of Win32 Structured Exception Handling》,我只是对顺序进行了一些调整,同时加入了一些我的理解,所以不敢自称原创。    2.结构定义位置中的X:指的是VC6.0的安装盘符。    首先,当线程发生异常时,操作系统会将这个异常通知给用户使用户能够得知它的发生。更特别的
-异常处理-
weixin_52369224的博客
03-03 637
简介: 异常分为俩种,CPU产生的异常(除0,缺页)和软件模拟产生的异常 来自《加密与解密》 SEH: SEH是Windows操作系统提供的异常处理机制,在程序源代码中使用_try、__except、_finally关键字来具体实现。 TEB/T: typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; //异常的链表 PVOID StackBase;
Using the Windows Debugger: Some Handy/Fun/Clever Debugger Commands
01-28 2963
Christmas time is here, by golly. (Disapproval would be folly; apologies to Tom Lehrer.) I was planning to do a tutorial on assembly language and call stacks this time, but it seems like the wrong tim
JIURL玩玩Win2k内存篇 分页机制 (三)
jiurl的专栏
08-18 1898
JIURL玩玩Win2k内存篇 分页机制 (三)作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30 8种转换由于页表被映射到了0xc0000000 开始的4MB地址空间。所以我们也可以象CPU那样完成虚拟地址
5.内存断点
My classmates
11-03 597
原理就是对所设地址的属性设置为不可读不可写属性,这样当这个地址被访问或写入就会产生异常。 //改变内存地址内存页的属性 BOOL VirtualProtectEx( IN HANDLE hProcess,// 要修改内存的进程句柄 IN LPVOID lpAddress,// 要修改内存的起始地址 IN SIZE_T dwSize,// 页区域大小 IN DWORD flNewPr...
Windows核心编程笔记(十八) SEH结构化异常 一
春暖花开
02-08 1687
23.1 基础知识 23.1.1 Windows下的软件异常 (1)中断和异常   ①中断是由外部硬件设备或异步事件产生的   ②异常是由内部事件产生的,可分为故障、陷阱和终止三类。 (2)两种异常处理机制:SEH和VEH(WindowsXP以上新引进) (3)结构化异常处理(SEH)是Windows操作系统提供的强大异常处理功能。而Visual C++中的__
中断和异常
weixin_34319111的博客
05-19 356
中断和异常 本文是MattPietrek在1997年月10月的MSJ杂志UnderTheHood专栏上发表的文章。中断和异常在DOS时代是整个系统的灵魂,但Windows已将其隐藏到了系统深处。MattPietrek详细剖析了Windows下的中断和异常及其处理机制以及内核模式与用户模式代码之间调用的问题。作者还提供了一个比较有意思的实验程序。 注:附...
SEH异常处理机制
谈成(C/C++)
04-12 1842
1.SEH是windows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
SHE Oracle漏洞
最新发布
02-19
SHE Oracle漏洞是一种安全漏洞,它影响了Oracle数据库系统。该漏洞的全称是"Server-Side Template Injection in Oracle Hospitality Suite",简称为SHE Oracle漏洞。 该漏洞的原理是在Oracle Hospitality Suite...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值