44 异常分发函数_KiDispatchException@20的逆向分析

已于 2023-06-18 19:25:15 修改
阅读量185 收藏
点赞数
分类专栏: 异常 文章标签: windows
于 2023-04-18 17:05:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huei0/article/details/130225357
版权
文章详细阐述了操作系统在遇到0环和三环异常时的处理机制。在0环异常中,检查内核调试器是否存在,若无,则调用RtlDispatchException进行异常处理。三环异常则会尝试调用三环调试器,未处理则返回三环并执行KiUserExceptionDispatcher进行异常分发。
摘要由CSDN通过智能技术生成

①0环异常

text:00422CAB                 cmp     ds:_KdDebuggerEnabled, 0 ; 查看当前内核调试器是否存在
.text:00422CB2                 jz      short loc_422CD1
.text:00422CB4
.text:00422CB4 loc_422CB4:                             ; CODE XREF: KiDispatchException(x,x,x,x,x)+4C↑j
.text:00422CB4                 mov     [ebp+Context.ContextFlags], 1001Fh
.text:00422CBE                 cmp     ds:_KeI386XMMIPresent, 0
.text:00422CC5                 jz      short loc_422CD1
.text:00422CC7                 mov     [ebp+Context.ContextFlags], 1003Fh
.text:00422CD1
.text:00422CD1 loc_422CD1:                             ; CODE XREF: KiDispatchException(x,x,x,x,x)+55↑j
.text:00422CD1                                         ; KiDispatchException(x,x,x,x,x)+68↑j
.text:00422CD1                 lea     eax, [ebp+Context]
.text:00422CD7                 push    eax
.text:00422CD8                 push    ecx
.text:00422CD9                 push    ebx
.text:00422CDA                 call    _KeContextFromKframes@12 ; 把当前的Trap_Frame保存到Context准备为返回三环做准备;
.text:00422CDF                 mov     eax, [esi]
.text:00422CE1                 cmp     eax, 80000003h
.text:00422CE6                 jnz     loc_441136
.text:00422CEC                 dec     [ebp+Context._Eip]
.text:00422CF2
.text:00422CF2 loc_422CF2:                             ; CODE XREF: KiDispatchException(x,x,x,x,x)+1E4DE↓j
.text:00422CF2                                         ; KiDispatchException(x,x,x,x,x)+1E4EE↓j ...
.text:00422CF2                 xor     edi, edi
.text:00422CF4
.text:00422CF4 loc_422CF4:                             ; CODE XREF: KiDispatchException(x,x,x,x,x)+2846C↓j
.text:00422CF4                 cmp     byte ptr [ebp+PreviousMode], 0 ; 判断是三环异常还是零环异常
.text:00422CF8                 jnz     loc_440FC6      ; 跳转处理三环异常
.text:00422CFE                 cmp     [ebp+FirstChanel], 1
.text:00422D02                 jnz     loc_44B0D6      ; RtlDispatchException没有处理异常
.text:00422D08                 mov     eax, ds:_KiDebugRoutine
.text:00422D0D                 cmp     eax, edi
.text:00422D0F                 jz      loc_4335B6      ; 没有内核调试器,则调用RtlDispatchException处理异常
.text:00422D15                 push    edi
.text:00422D16                 push    edi
.text:00422D17                 lea     ecx, [ebp+Context]
.text:00422D1D                 push    ecx
.text:00422D1E                 push    esi
.text:00422D1F                 push    [ebp+var_2F0]
.text:00422D25                 push    ebx
.text:00422D26                 call    eax ; _KiDebugRoutine
.text:00422D28                 test    al, al          ; 有内核调试器,但是内核调试器不处理,调用RtlDispatchException处理异常
.text:00422D2A                 jz      loc_4335B6

.text:004335B6                 lea     eax, [ebp+Context]
.text:004335BC                 push    eax             ; Context
.text:004335BD                 push    esi             ; ExceptionRecord
.text:004335BE                 call    _RtlDispatchException@8 ; RtlDispatchException(x,x)
.text:004335C3                 jmp     loc_44B0CE



.text:0044B1D8                                         ; KiDispatchException(x,x,x,x,x)+2849C↑j ...
.text:0044B1D8                 push    edi             ; BugCheckParameter4
.text:0044B1D9                 push    ebx             ; BugCheckParameter3
.text:0044B1DA                 push    dword ptr [esi+0Ch] ; BugCheckParameter2
.text:0044B1DD                 push    dword ptr [esi] ; BugCheckParameter1
.text:0044B1DF                 push    8Eh             ; BugCheckCode
.text:0044B1E4                 call    _KeBugCheckEx@20

②三环异常



.text:0044100E                                         ; KiDispatchException(x,x,x,x,x)+1E379↑j
.text:0044100E                 push    edi
.text:0044100F                 push    1
.text:00441011                 push    esi
.text:00441012                 call    _DbgkForwardException@12 ; 调用三环调试器,三环调试器不处理则准备返回三环



.text:00441103                 sbb     eax, eax
.text:00441105                 and     eax, 3
.text:00441108                 add     eax, 38h
.text:0044110B                 mov     [ebx+_KTRAP_FRAME.SegFs], eax
.text:0044110E                 and     [ebx+_KTRAP_FRAME.SegGs], 0
.text:00441112                 mov     eax, ds:_KeUserExceptionDispatcher
.text:00441117                 mov     [ebx+_KTRAP_FRAME._Eip], eax ; 修改Trap_Frame的EIP等于KiUserExceptionDispatcher,准备返回三环


.text:7C92E45C ; __stdcall KiUserExceptionDispatcher(x, x)
.text:7C92E45C                 public _KiUserExceptionDispatcher@8
.text:7C92E45C _KiUserExceptionDispatcher@8 proc near  ; DATA XREF: .text:off_7C923428↑o
.text:7C92E45C
.text:7C92E45C var_C           = dword ptr -0Ch
.text:7C92E45C var_8           = dword ptr -8
.text:7C92E45C var_4           = dword ptr -4
.text:7C92E45C arg_0           = dword ptr  4
.text:7C92E45C
.text:7C92E45C                 mov     ecx, [esp+arg_0]
.text:7C92E460                 mov     ebx, [esp+0]
.text:7C92E463                 push    ecx
.text:7C92E464                 push    ebx
.text:7C92E465                 call    _RtlDispatchException@8 ; RtlDispatchException(x,x)
.text:7C92E46A                 or      al, al
.text:7C92E46C                 jz      short loc_7C92E47A ; 没有处理异常,进入二次分发
.text:7C92E46E                 pop     ebx
.text:7C92E46F                 pop     ecx
.text:7C92E470                 push    0
.text:7C92E472                 push    ecx
.text:7C92E473                 call    _ZwContinue@8   ; 如果处理了异常,则调用ZwContinue进入0环之后,再次修改
.text:7C92E473                                         ; Trap_Frame为CONTEXT的值,返回到原来发生异常的地方
.text:7C92E478                 jmp     short loc_7C92E485
.text:7C92E47A ; ---------------------------------------------------------------------------
.text:7C92E47A
.text:7C92E47A loc_7C92E47A:                           ; CODE XREF: KiUserExceptionDispatcher(x,x)+10↑j
.text:7C92E47A                 pop     ebx
.text:7C92E47B                 pop     ecx
.text:7C92E47C                 push    0
.text:7C92E47E                 push    ecx
.text:7C92E47F                 push    ebx
.text:7C92E480                 call    _ZwRaiseException@12 ; 二次分发异常
.text:7C92E485

huei0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中断和异常
u012138730的专栏
05-10 3090
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
系统服务调用与异常分发
Returns' Station
05-18 4876
系统服务的调用过程 一、CPU的内部支持 1. int 0x2e 进入 iret返回 (中断门切换) ★.利用中断进入内核,0x2e对应的是KiSystemService ★.每个处理器有一个任务环境,初始化时系统会给CPU在GDT中构造TSS段,并且记录在KPCR中,其中记录着内核栈的地址。线程切换的时候会把处理器的TSS.ESP0 设置为当前的内核栈地址    所以r
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1132
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
KiDispatchException
FadeTrack
03-09 2383
VOID KiDispatchException ( IN PEXCEPTION_RECORD ExceptionRecord, IN PKEXCEPTION_FRAME ExceptionFrame, IN PKTRAP_FRAME TrapFrame, IN KPROCESSOR_MODE PreviousMode, IN BOOLEAN FirstCha
Windows异常学习笔记(二)—— 内核异常处理流程&用户异常分发
qq_41988448的博客
01-11 1757
Windows异常学习笔记(一)—— CPU异常记录前言软件模拟异常实验:分析模拟异常第一步:编译并运行以下代码第二步:查看汇编代码第三步:分析 __CxxThrowException第四步:分析 RaiseException 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 软件模拟异常 实验:分析模拟异常 第一步:编译并运行以下代码 ...
用户层和内核层异常的处理流程
鬼手的博客
02-16 1893
文章目录内核层异常的处理流程用户层异常和内核层异常KiDispatchException函数详解RtlDispatchException函数的执行流程用户层异常的处理流程用户异常的处理流程 内核层异常的处理流程 之前已经了解过异常处理机制的执行流程:异常记录 异常分发 异常的处理。这次我们学习一下内核异常分发与处理。 用户层异常和内核层异常 异常可以发生在用户空间,也可以发生在内核空间。无论是C...
4.VEH(向量化异常处理)
My classmates
10-30 6912
当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 (ntdll.dll) KiUserExceptionDispatcher函数分析 调用 RtIDis...
SEH异常之编译器原理探究
最新发布
hongduilanjun的博客
09-14 735
这里调用,然后调用入口程序相当于这里才是一个进程开始执行的地方这里有一个call调用,跟进去看看发现有修改fs:[0]的操作,这里就相当于编译器为我们注册了一个异常处理函数这里到里面的里面看一下,这里有一个注册SEH异常处理函数的操作//{int i = 1;return 0;return 0;可以发现线程也是从开始的然后跟进调用可以发现还是注册了一个异常处理函数还是去IDA里面看函数,发现也注册了一个SEH异常函数
异常处理流程
weixin_30555753的博客
08-06 221
对于CPU级的异常,CPU会通过IDT表寻找异常的处理函数,也就是KiTrapXX例程,会调用CommonDispatchException准备参数,然后调用内核分发函数KiDispatchException进行异常分发。 下面的图是内核异常分发总管KiDispatchException处理的流程。 内核态异常分发过程:  1.如果PreviousM...
漫谈兼容内核之二十五:Windows的结构化异常处理(二)
周寅的专栏
03-13 1110
 先看调用参数。异常纪录块ExceptionRecord就是前面准备好的;指针ExceptionFrame是NULL,这是个 KEXCEPTION_FRAME结构指针,但是从代码中看这只是为PowerPC芯片而设的,用于保存一些附加寄存器的内容,386架构的处理器芯片无 此要求;而陷阱框架指针Tf指向堆栈上因异常而形成的框架,我们在前面倒是称之为“异常框架”。此外,PreviousMode为Ker
3.用户异常分发
My classmates
10-29 701
异常如果发生在内核层,处理起来比较简单,因为异常处理函数也在0环,不用切换堆栈,但是如果异常发生在3环,就意味着必须要切换堆栈,回到3环执行处理函数。 切换堆栈的处理方式与用户APC的执行过程几乎是一样的,唯一的区别就是执行用户APC时返回3环后执行的函数KiUserApcDispatcher,而异常处理时返回3环后执行的函数KiUserExceptionDispatcher. 所以,理解用户...
Windows的结构化异常处理
major102的专栏
11-07 818
我们知道,异常就像中断,不管是什么原因(“软异常”除外)所引起,一旦发生首先进入的是内核中的异常响应/ 处理程序的入口,这就是类似于KiTrap0()那样的底层内核函数,只是因为引起异常的原因不同而进入不同的入口,就像对于不同的中断向量有不同的入口 一样。在内核中,仍以页面异常为例,正如读者已经看到,CPU会从KiTrap14()进入函数KiPageFaultHandler()。在那儿,如果 所发
Windows异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1244
异常 Windows异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
内核学习-异常
weixin_45880501的博客
11-17 472
内核学习-异常 异常产生后,首先是要记录异常信息(异常的类型、异常发生的位置等),然后要寻找异常的处理函数,称为异常分发,最后找到异常处理函数并调用,称为异常处理。 围绕 异常处理,异常分发异常处理展开 异常的分类: (1)cpu产生的异常 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZYiH89U2-1635589257293)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-202110
初探windows异常处理
hongduilanjun的博客
05-09 1053
windows系统里,为了保证系统内核的强壮和稳定,为了保证用户程序的强壮和稳定,提供了异常处理机制,来帮助程序员和系统使用人员处理异常。如果想要更加深入的掌握操作系统,异常处理的知识是必不可少的,不仅如此,软件调试也与异常处理息息相关。 异常执行流程 CPU检测到异常 -> 查中断表执行处理函数 -> CommonDispatchException -> KiDispatchException -> KiUserExceptionDispatcher -> Rtl
2.内核异常处理流程
My classmates
10-29 1442
用户层异常与内核层异常 异常可以发生在用户空间,也可以发生在内核空间。 无论是CPU异常还是模拟异常,是用户层异常还是内核异常,都要通过 KiDispatchException函数进行分发,这个函数比较复杂。 VOID KiDispatchException ( ExceptionRecord, ExceptionFrame, TrapFrame, PreviousMode, First...
【系统篇】从int 3探索Windows应用程序调试原理
weixin_30300225的博客
09-28 235
探索调试器下断点的原理   在Windows上做开发的程序猿们都知道,x86架构处理器有一条特殊的指令——int 3,也就是机器码0xCC,用于调试所用,当程序执行到int 3的时候会中断到调试器,如果程序不处于调试状态则会弹出一个错误信息,之后程序就结束。使用VC开发程序时,在Debug版本的程序中,编译器会向函数栈帧中填充大量的0xCC,用于调试使用。因此,经常我们的程序发生缓冲区...
Windows异常处理核心原理(1)--- 理论篇
星空漫步者
12-28 1129
                           Windows异常处理核心原理理论篇 前言 这里简单说一下此篇文章应该怎么看,Windows下的异常处理相对来说不是很复杂,但是内容还是蛮多的。也因此呢这个文章也应该是一个系列的开头;在这一篇文章中,我会大概的讲述Windows异常的处理流程,是一个大概的内容,更详尽的内容留在后面的章节慢慢来说。 理论篇篇幅应该较长,想要详细了解流程的...
异常处理分发机制
datouyu0824的博客
03-22 1047
异常分发原理 详解1 详解2 TEB结构体详解 - 解析SEH int main(void) { 55 push ebp 8B EC mov ebp,esp 6A FE push 0FFFFFFFEh 68 C0 8E 43 00 push 438EC0h 68 A0 1A 43 00 push off
SPAD:硬件虚拟化技术在反调试中的应用
Windows操作系统中,调试机制通常依赖于关键函数KiDispatchException()进行异常处理。目前的反调试策略包括各种通用方法,但它们的弱点在于容易被破解,尤其是当其原理和代码公开时。此外,这些方法往往开销较大,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值