SEH异常之编译器原理探究

于 2022-09-14 13:19:15 发布
阅读量798 收藏 2
点赞数 2
文章标签: 开发语言 microsoft windows 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/126850702
版权
本文深入探讨了Windows系统下的SEH(Structured Exception Handling)异常处理机制,包括&_try_except_、&_try_finally_原理,异常处理函数的注册与执行流程,以及未处理异常的处理方式,如UnhandledExceptionFilter和线程启动时的安全防护措施。
摘要由CSDN通过智能技术生成

_try_except原理

调用_except_handle3这个异常处理函数,这里并不是每个编译器的异常处理函数都是相同的,然后存入结构体,将esp的值赋给fs:[0],再就是提升堆栈的操作

每个使用 _try _except的函数,不管其内部嵌套或反复使用多少_try _except,都只注册一遍,即只将一个 _EXCEPTION_REGISTRATION_RECORD 挂入当前线程的异常链表中(对于递归函数,每一次调用都会创建一个 _EXCEPTION_REGISTRATION_RECORD,并挂入线程的异常链表中)。

typedef struct _EXCEPTION_REGISTRATION_RECORD {

    struct _EXCEPTION_REGISTRATION_RECORD *Next;

    PEXCEPTION_ROUTINE Handler;

  } EXCEPTION_REGISTRATION_RECORD;

可以看到只有一个异常处理函数

那么这里编译器是如何做到只用一个异常处理函数的呢?编译器把原来_EXCEPTION_REGISTRATION_RECORD结构进行了拓展,添加了三个成员

struct _EXCEPTION_REGISTRATION{
        struct _EXCEPTION_REGISTRATION *prev;
        void (*handler)(PEXCEPTION_RECORD, PEXCEPTION_REGISTRATION, PCONTEXT, PEXCEPTION_RECORD);
        struct scopetable_entry *scopetable;
        int trylevel;
        int _ebp;
    };       

新堆栈结构如下

scopetable

struct scopetable_entry
{
       DWORD previousTryLevel  //上一个try{}结构编号 
       PDWRD        lpfnFilter         //过滤函数的起始地址
       PDWRD        lpfnHandler    //异常处理程序的地址     
}

查看地址可以发现有三个结构体

存储着的正式异常函数的开始地址和结束地址

第一个值previousTryLevel是上一个try结构的编号,这里如果在最外层就是-1,如果在第二层就是0,如果在第三层就是1,以此类推

最低0.47元/天 解锁文章
红队蓝军
关注
语言SEH异常捕获模块.e
07-18
支持易语言程序代码自设SEH捕获异常
结构化异常处理(seh) (转)
evers的专栏
11-15 1375
结构化异常处理(seh)   毕业的事情终于要搞定了,几个月前就答应要写这么一个文章,现在补上.  结构化异常处理是一种操作系统提供的机制,用来优化程序的结构,提供更加健壮的程序执行环境.试想想你写程序不用考虑哪里有个内存访问错误,哪里有个空指针等等一类的错误,一直按照程序的逻辑结构向下写,而不用去检查函数是否成功,这会是多么愉悦的事情(这个乃是seh的宣传词,不代表我的观点,这里完全是无责任
【Android 逆向】x86 汇编 ( 使用 IDA 解析 x86 架构的动态库文件 | x86 汇编语言分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-12 1275
x86 汇编语言分析
Windows异常世界历险记(一)——Windows系统用户级结构化异常处理机制(SEH)的基础知识和Unwind展开操作
LPWSTR的博客
12-04 1511
Windows系统的用户级结构化异常处理机制(SEH)是基于线程的,因此可为不同的线程指派不同的异常处理函数。且由于其形成了链结构,还可据此为一个线程指定多个异常处理函数,异常发生后,操作系统会沿此链表调用各异常处理函数,直到某个异常处理函数修复了该异常或已达末尾。通常处理完异常后,需要执行展开(Unwind)操作,该操作先通知目标结点前的各异常处理函数释放资源,然后将之前的SEH链全部删除。
初探windows异常处理
hongduilanjun的博客
05-09 1192
windows系统里,为了保证系统内核的强壮和稳定,为了保证用户程序的强壮和稳定,提供了异常处理机制,来帮助程序员和系统使用人员处理异常。如果想要更加深入的掌握操作系统,异常处理的知识是必不可少的,不仅如此,软件调试也与异常处理息息相关。 异常执行流程 CPU检测到异常 -> 查中断表执行处理函数 -> CommonDispatchException -> KiDispatchException -> KiUserExceptionDispatcher -> Rtl
当出现ntdll!KiUserExceptionDispatcher时,如何用windbg 定位正确堆栈
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 7267
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这时就需要通过其他方式获取产生异常时的正确堆栈 下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点 [cpp] view plainco
SEH异常处理.rar
04-05
通过这个压缩包中的易语言源码,你可以深入学习如何在易语言环境中实现SEH异常处理,理解其原理,并应用到实际项目中,提高代码的稳定性和可靠性。同时,对于理解Windows底层的异常处理机制,也有很大的帮助。
语言SEH异常处理源码.rar
06-28
在这个"易语言SEH异常处理源码.rar"压缩包中,包含的主要是易语言的源代码,涉及到的是系统异常处理的相关技术,特别是结构化异常处理(Structured Exception Handling,简称SEH)。 结构化异常处理是Windows操作...
语言源码易语言SEH异常处理源码.rar
03-30
在解压"易语言SEH异常处理源码.rar"后,你可以看到具体的源代码文件,通过阅读和学习这些源码,可以了解易语言异常处理的原理和实际应用。比如,源码可能包含了如何使用`易出错`和`恢复出错`等关键字来处理系统级...
语言SEH异常处理
07-21
在易语言中,SEH(Structured Exception Handling)异常处理机制是用于处理程序运行时可能出现的错误或异常情况的重要工具。本文将详细讲解易语言中的SEH异常处理,以及相关的关键技术点。 SEH是微软Windows操作...
IDA_ARM_Unwind:IDA插件,调试手臂时展开堆栈跟踪
04-14
IDA ARM Unwind Plugin 功能 使用 IDA 调试 arm 调试时,打印实时的栈回溯。 IDA 的菜单栏有一处功能:Debugger -> Debugger windows -> Stack trace (Ctrl + Alt + S),在调试 x86、x64、arm64 的程序时它的功能是正常的,在调试 arm 程序时它的功能是不正常的,表现出来栈回溯缺失和栈回溯错误。本质上因为 arm 使用的是自己搞的一套 arm exception handler abi,由 .arm.exidx 和 .arm.extab 描述;而其他 cpu 使用的是 dwarf,由 .eh_frame 描述,IDA 没有针对它做处理。本文使用 idapython 实现这个缺失的功能。 用法 1. 安装 pyelftools >= 0.27 当前最新版是0.26,该版本暂不提供 arm ehab
Win10 X64 HOOK KiUserExceptionDispatcher
瞎捣鼓
01-31 2433
Win10 X64 HOOK KiUserExceptionDispatcher HOOK.ASM extrn NewKiUserExceptionDispatcher : proc extrn OrgKiUserExceptionDispatcher : proc extrn OldKiUserExceptionDispatcher : proc .data .code ;hook public MyKiUserExceptionDispatcher MyKiUserExceptionDi
异常
qq_35426012的博客
12-24 266
定位异常处理函数 示例代码 #include <iostream> #define INTTYPE 0 #define FLOATTYPE 1 #define DOUBLETYPE 2 #define CHARPTRTYPE 3 #define CHARTYPE 4 #define INTPTRTYPE 5 using namespac...
Windows异常学习笔记(三)—— VEH&SEH
lzyddf的博客
01-11 1653
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
Hook KiUserExceptionDispatcher参数指针错误的问题
SilenceNet的专栏
12-04 9590
跟了一个晚上,终于解决了大概要实现的是用这个函数替换ntdll中的KiUserExceptionDispatcher,实现方法如下:VOID NTAPI KiUserExceptionDispatcher(PEXCEPTION_RECORD pExcptRec,PCONTEXT pContext) { DWORD retValue; if (RtlDispatchException(pExcptRec,pContext)) { retValue=::ZwContinue( pContex
Windows异常分发函数---KiUserExceptionDispatcher
weixin_46246967的博客
07-04 486
Windows异常分发函数---KiUserExceptionDispatcher
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4366
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
Windows异常学习笔记(二)—— 内核异常处理流程&用户异常的分发
lzyddf的博客
01-11 1970
Windows异常学习笔记(一)—— CPU异常记录前言软件模拟异常实验:分析模拟异常第一步:编译并运行以下代码第二步:查看汇编代码第三步:分析 __CxxThrowException第四步:分析 RaiseException 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 软件模拟异常 实验:分析模拟异常 第一步:编译并运行以下代码 ...
VEH和SEH
鬼手的博客
02-16 4242
文章目录VEHKiUserExceptionDispatcher函数分析代码实现添加VEH异常处理函数VEH异常的处理流程SEHExceptionListRtlDispatchException函数的执行流程代码实现添加SEH异常处理函数SEH异常的处理流程 VEH 当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接处理,而是修正3环EIP为KiUs...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值