SEH不起作用的问题跟踪

最新推荐文章于 2023-12-06 08:30:19 发布
VIP文章 最新推荐文章于 2023-12-06 08:30:19 发布
阅读量1.1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/demoscene/article/details/51153167
版权

关建词 _except_handler4、_except_handler3、_ValidateEH3RN


问题:

写了一个程序(shell,你懂的),发现SEH捕捉不到异常,网上搜了一下没找到相关内容,下面的代码是为了写文章简单写的例子代码

__try
{
	_asm int 3;
}
__except(1)
{
    printf("except\r\n");
}


分析:

VS2008里跟踪调试,确实没捕捉到,SEH没源码不好调,祭出OD

载入,定位到代码

012D1040 > $  55            push ebp
012D1041   .  8BEC          mov ebp,esp
012D1043   .  6A FF         push -1
012D1045   .  68 D8D02D01   push 012DD0D8
012D104A   .  68 B49A2D01   push _except_handler3igionObjecterr 'DLo>;  SE 处理程序安装
012D104F   .  64:A1 0000000>mov eax,dword ptr fs:[0]
012D1055   .  50            push eax
012D1056   .  64:8925 00000>mov dword ptr fs:[0],esp
012D105D   .  83EC 08       sub esp,8
012D1060   .  53            push ebx
012D1061   .  56            push esi
012D1062   .  57            push edi
012D1063   .  8965 E8       mov dword ptr ss:[ebp-18],esp
012D1066   .  C745 FC 00000>mov dword ptr ss:[ebp-4],0
012D106D   .  CC            int3
012D106E   .  C745 FC FFFFF>mov dword ptr ss:[ebp-4],-1
012D1075   .  EB 1D         jmp short 012D1094
012D1077   .  B8 01000000   mov eax,1
012D107C   .  C3            retn
012D107D   .  8B65 E8       mov esp,dword ptr ss:[ebp-18]
012D1080   .  68 2CCB2D01   push 012DCB2C                            ;  ASCII "except1
"
012D1085   .  E8 B7060000   call printfc_crttProcess4lockonFilterm_L>
012D108A   .  83C4 04       add esp,4
012D108D   .  C745 FC FFFFF>mov dword ptr ss:[ebp-4],-1
012D1094   >  33C0          xor eax,eax
012D1096   .  8B4D F0       mov ecx,dword ptr ss:[ebp-10]
012D1099   .  64:890D 00000>mov dword ptr fs:[0],ecx
012D10A0   .  5F            pop edi
012D10A1   .  5E            pop esi
012D10A2   .  5B            pop ebx
012D10A3   .  8BE5          mov esp,ebp
012D10A5   .  5D            pop ebp
012D10A6   .  C3            retn


可以看到代码一开始就安装了一个SEH异常处理,handler是VC内自带的 _except_handler3

转到_except_handler3(012D9AB4)下个断点,F8单步执行012D106D的 int3时触发了异常,在_except_handler3断了下来


012D9AB4 >/$  55            push ebp                                 ;  结构异常处理程序
012D9AB5  |.  8BEC          mov ebp,esp
012D9AB7  |.  83EC 08       sub esp,8
012D9ABA  |.  53            push ebx
012D9ABB  |.  56            push esi
012D9ABC  |.  57            push edi
012D9ABD  |.  55            push ebp
012D9ABE  |.  FC            cld
012D9ABF  |.  8B5D 0C       mov ebx,dword ptr ss:[ebp+C]
012D9AC2  |.  8B45 08       mov eax,dword ptr ss:[ebp+8]
012D9AC5  |.  F740 04 06000>test dword ptr ds:[eax+4],6
012D9ACC  |.  0F85 C3000000 jnz 012D9B95
012D9AD2  |.  8945 F8       mov dword ptr ss:[ebp-8],eax
012D9AD5  |.  8B45 10       mov eax,dword ptr ss:[ebp+10]
012D9AD8  |.  8945 FC       mov dword ptr ss:[ebp-4],eax
012D9ADB  |.  8D45 F8       lea eax,dword ptr ss:[ebp-8]
012D9ADE  |.  8943 FC       mov dword ptr ds:[ebx-4],eax
012D9AE1  |.  8B73 0C       mov esi,dword ptr ds:[ebx+C]
012D9AE4  |.  8B7B 08       mov edi,dword ptr ds:[ebx+8]
012D9AE7  |.  53            push ebx
012D9AE8  |.  E8 E3010000   call _ValidateEH3RNssAndSpinCountrr 'DLo>
012D9AED  |.  83C4 04       add esp,4
012D9AF0  |.  0BC0          or eax,eax
012D9AF2  |.  0F8E 8F000000 jle 012D9B87
012D9AF8  |>  83FE FF       /cmp esi,-1
012D9AFB  |.  0F84 8D000000 |je 012D9B8E
012D9B01  |.  8D0C76        |lea ecx,dword ptr ds:[esi+esi*2]
012D9B04  |.  8B448F 04     |mov eax,dword ptr ds:[edi+ecx*4+4]
012D9B08  |.  0BC0          |or eax,eax
012D9B0A  |.  74 66         |je short 012D9B72
012D9B0C  |.  56            |push esi
012D9B0D  |.  55            |push ebp
012D9B0E  |.  8D6B 10       |lea ebp,dword ptr ds:[ebx+10]
012D9B11  |.  33DB          |xor ebx,ebx
012D9B13  |.  33C9          |xor ecx,ecx
012D9B15  |.  33D2          |xor edx,edx
012D9B17  |.  33F6          |xor esi,esi
012D9B19  |.  33FF          |xor edi,edi
012D9B1B  |.  FFD0          |call eax
012D9B1D  |.  5D            |pop ebp
012D9B1E  |.  5E            |pop esi
012D9B1F  |.  8B5D 0C       |mov ebx,dword ptr ss:[ebp+C]
012D9B22  |.  0BC0          |or eax,eax
012D9B24  |.  74 4C         |je short 012D9B72
012D9B26  |.  78 58         |js short 012D9B80
012D9B28  |.  6A 01         |push 1
012D9B2A  |.  FF75 08       |push dword ptr ss:[ebp+8]
012D9B
最低0.47元/天 解锁文章
demoscene
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vc2005 版 StackTraceInC 追踪结构化异常(SEH)
12-02
网上资源是vc6的,vc2005无法编译,这个是vc2005版的
VS开发】关于SEH的简单总结
weixin_30391339的博客
05-21 370
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗. 1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/excepti...
支持源文件索引符号服务器的构建和使用
zyc_sinacom的专栏
05-08 4283
当我们开发的Windows程序崩溃时,我们常会将Catch到的Dump文件进行分析。 以往当我们拿到一个Dump时,通常是这样做的: 1.确定Dump发生时的版本号; 2.找到备份的对应版本的PDB文件; 3.必要时再找对应版本的源文件; 然而,当发布出去的版本较多时,上述过程是很麻烦的; 建议一个符号服务器可以为我们省去上述麻烦。 ----以下介绍带源文件索引的符号服务器的创建过程
Windows核心编程笔记(十九) SEH结构化异常处理_未处理异常及向量化异常
春暖花开
02-13 3518
UnhandledExceptionFilter函数详解  BaseProcessStart伪代码(Kernel32内部) void BaseProcessStart(PVOID lpfnEntryPoint) //参数为线程函数的入口地址 { DWORD retValue; DWORD currentESP; DWORD exceptionCode;
降本增笑的P0事故背后,是开猿节流引发的代码异常吗?
QcloudCommunity的博客
12-06 1082
????导读软件开发中遇到异常才是正常,很少有人能写出完美的程序跑在任何机器上都不会报错。但极为正常的软件异常,却经常出自不同的原因,导致不同的结果。怎么样科学地认识异常、处理异常,是很多研发同学需要解决的问题。本文作者根据自己多年的工作经验,撰写了《异常思辨录》系列专栏,希望能体系化地帮助到大家。本文为系列第一篇,本篇文章将主要聚焦异常处理的几种方式展开,欢迎阅读。????目录1 开篇的话1.1 异...
DLL中使用SEH
qq_41490873的博客
07-19 139
如图,c++异常选项选择有SEH异常. 运行库的文本给删掉.就可以使用SEH了. __try{do someing} __except(1) { }
易语言关于SEH异常处理
m0_52510907的博客
12-03 3081
敏感肌能用吗
关于SEH学习的一些笔记
Hacker world
06-05 262
SEH建立线程前会建立一个SEH 
无法定位程序输入点_except_handler4_common于动态链接库msvcrt.dll上
热门推荐
ATMCash4423的专栏
05-03 1万+
无法定位程序输入点_except_handler4_common于动态链接库msvcrt.dll上解决方式如下: 这是由于sp3加载的驱动造成的;只需要将C:\WINDOWS\system32\dwmapi.dll重新命名一下即可以解决。 原因: 浅谈Windows环境软件故障调试与分析 大家好,我是Eric,今天,我将与大家一起分享一个软件故障的调试与分析案例,希望给大家提供一个解决Wi
SEH stack 结构探索(3)--- __exception_handler4() 探秘1
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1589
SEH stack 结构探索(3)--- __exception_handler4() 探秘1 在我的环境里,用户的缺省的 exception handler 是 MSVCR100D!_except_handler4(),它是 VC/C++ 的调试版本运行库里的函数,当然如果是发行版的话是MSVCR100!_except_handler4() 在 WinNT.h 里定义的 exceptio
SEH反调试的实现与调试
05-16
seh 调试 反调试 破解 代码 SEH反调试的实现与调试  在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…
[易语言源码]-SEH_API的重定向源码
05-06
[易语言源码]-SEH_API的重定向源码
易语言SEH结构化异常处理源码综合
05-03
综合了百度搜索的几个感觉比较有用的易语言SEH结构化异常处理的源码。可以作为学习的参考
[易语言源码]-高效线程SEH示例源码
05-06
[易语言源码]-高效线程SEH示例源码
软件加密技术内幕配套光盘(iso版本)
10-19
演示SEH实现单步自跟踪 │ └─veh ;例子7.VEH代码演示 │ ├─chap05....................................第5章 反跟踪技术 │ ├─Anti-Debug ;5.1 反调试技术 │ │ ├─MeltICE ;句柄检测 │ │ ├─Back Door...
【新】易语言异常捕获,基于东灿大佬的异常捕获模块5-2版本-易语言
06-12
为了解决这个问题,我们可以通过TLS机制,为每一个使用该全局变量的线程都提供一个变量值的副本,每一个线程均可以独立地改变自己的副本,而不会和其它线程的副本冲突。从线程的角度看,就好像每一个线程都完全拥有...
软件加密技术内幕
03-19
4.4.2 利用SEH实现对自身的单步自跟踪 4.4.3 其它应用 4.5 系统背后的秘密 4.6 VC是如何封装系统提供的SEH机制的 4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构 4.6.2 数据结构组织 4.7 Windows XP下的向量化...
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告.docx
最新发布
04-18
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
不到libgcc_s_seh-1.dll
05-02
当运行程序时,如果系统找不到这个文件,会出现“找不到libgcc_s_seh-1.dll”这个错误提示。 解决这个问题的方法有几种: 1. 重新安装程序或运行时库,以确保完整的文件集已安装。 2. 手动下载libgcc_s_seh-1.dll...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值