vc++6对windows SEH扩展分析 一文拾遗

最新推荐文章于 2019-06-29 19:06:50 发布
最新推荐文章于 2019-06-29 19:06:50 发布
阅读量951 收藏
点赞数
分类专栏: 调试 win 文章标签: SEH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/47446589
版权
调试 同时被 2 个专栏收录
122 篇文章 5 订阅
订阅专栏
win
63 篇文章 4 订阅
订阅专栏

    前一篇文章vc++6对windows SEH扩展分析 尚有遗漏,本篇加以补齐。

    其实本文参考csdn上一篇名为<Win32结构化异常处理(SEH)--异常处理程序(__try/except)>,同时提出了一些质疑。

  作者罗列了vc++6.0扩展的SEH节点的结构如下:

struct _EXCEPTION_REGISTRATION
   {
     struct _EXCEPTION_REGISTRATION *prev;
     void (*handler)(PEXCEPTION_RECORD,
           PEXCEPTION_REGISTRATION,
           PCONTEXT,
           PEXCEPTION_RECORD);
     struct scopetable_entry *scopetable;
     int trylevel;
     int _ebp;
     PEXCEPTION_POINTERS xpointers;
   };

如前一篇<vc++6对windows SEH扩展分析 >所述,这个结构是在进入函数时按push ebp/push 0xff一系列操作在堆栈上形成一个_EXCEPTION_REGISTRATION节点。一般而言push ebp是进入函数的第一条语句,那么,在栈中地址高于int _ebp的指针变量xpointers是谁压入的?一般而言,堆栈中[ebp+4]是函数返回地址,因此可以认为作者可能笔误写错了PEXCEPTION_POINTERS xpointers;在整个结构中的位置。那么,这个域在哪?本文通过调试代码,回答这个问题。

产生异常的代码如下:

#include <windows.h>

int filter1(EXCEPTION_POINTERS* excpInfo)
{
	DWORD accAddr = excpInfo->ExceptionRecord->ExceptionInformation[1];
	excpInfo->ContextRecord;
	return EXCEPTION_EXECUTE_HANDLER;
}


int main()
{
	int* a = NULL;
	__try
	{
		(*a)=0xcc;
	}
	__except(filter1(GetExceptionInformation()))
	{
		MessageBox(NULL,"","",MB_OK);
	}
	return 0;

}
程序触发异常后传入4个参数然后进入except_handler3,原型如下: 

int __except_handler3( 
 struct _EXCEPTION_RECORD * pExceptionRecord,
 struct EXCEPTION_REGISTRATION * pRegistrationFrame,
 struct _CONTEXT *pContextRecord,
 void * pDispatcherContext );

except_handler3源码没有,忍忍看看反汇编的结果:

__except_handler3:
00401234   push        ebp
00401235   mov         ebp,esp
00401237   sub         esp,8
0040123A   push        ebx
0040123B   push        esi
0040123C   push        edi
0040123D   push        ebp
0040123E   cld
0040123F   mov         ebx,dword ptr [ebp+0Ch] ;ebx指向第二个参数
00401242   mov         eax,dword ptr [ebp+8] ;[ebp+8]指向第一个参数
00401245   test        dword ptr [eax+4],6
0040124C   jne         __except_handler3+0A0h (004012d4)
00401252   mov         dword ptr [ebp-8],eax
00401255   mov         eax,dword ptr [ebp+10h] ;[ebp+10h]指向第三个参数
00401258   mov         dword ptr [ebp-4],eax
0040125B   lea         eax,[ebp-8]
0040125E   mov         dword ptr [ebx-4],eax
注释说了,ebx指向第二个参数,这个其实是发生异常前main函数中堆栈中压入的 struct _EXCEPTION_REGISTRATION结构。这段代码中有这么几句: 

00401242   mov         eax,dword ptr [ebp+8] ;[ebp+8]指向第一个参数
<pre name="code" class="cpp">00401252   mov         dword ptr [ebp-8],eax
...
00401255   mov         eax,dword ptr [ebp+10h] ;[ebp+10h]指向第三个参数
00401258   mov         dword ptr [ebp-4],eax
...
<pre name="code" class="cpp">0040125E   mov         dword ptr [ebx-4],eax ;把结构的起始地址放入地址[pRegistrationFrame-4]

 

 

 

这段代码,把参数1 3放入某个结构中,然后把这个结构的地址传给[pRegistrationFrame-4],按照<Win32结构化异常处理(SEH)--异常处理程序(__try/except)>一文的作者描述,这个结构就是PEXCEPTION_POINTERS xpointer。前面多次说过pRegistrationFrame是ide在堆栈上形成的结构,pRegistrationFrame-4相当于往堆栈上又压入一个4字节变量,因此,可以确定vc++6.0扩展的结构的原型应该是:
 
 

<pre name="code" class="cpp"><pre name="code" class="cpp">PEXCEPTION_POINTERS xpointers;
 

 

 struct _EXCEPTION_REGISTRATION   { 

      struct _EXCEPTION_REGISTRATION *prev;     void (*handler)(PEXCEPTION_RECORD,           PEXCEPTION_REGISTRATION,           PCONTEXT,           PEXCEPTION_RECORD);     struct scopetable_entry *scopetable;     int trylevel;     int _ebp;   }; 

 两个变量紧挨在一起 

 

 当然也可以查看内存值: 

 

 

触发异常之前,ebp=0x12ff48,trylevel=0x00,handler=0x403118,prev=0x12ff78;而0x12ff34,即xpointer处为0x83;
 


 
 触发异常执行到 

<pre name="code" class="cpp"><pre name="code" class="cpp">mov         dword ptr [ebx-4],eax ;把结构的起始地址放入地址[pRegistrationFrame-4]
 

 

 

语句之后
 


 
 

0x12FF34处值为0x12FAEC。而地址0012FAEC处的内存为:
 

 

0012FAE4  00 00 00 00 00 00 00 00  ........
0012FAEC  E0 FB 12 00 FC FB 12 00  帑....
0012FAF4  18 FB 12 00 79 71 85 77  ....yq厀
明眼人一看0x12FBE0和0x12FBFC就知道是堆栈值。可以在按ebp的值查看函数参数和返回地址: 

 

 

0012FAEC  25 E1 82 77 DD AE 6C 00  %醾w莓l.
0012FAF4  18 FB 12 00 79 71 85 77  ....yq厀
0012FAFC  E0 FB 12 00 38 FF 12 00  帑..8...
0012FB04  FC FB 12 00 B4 FB 12 00
这两个值果然是except_handler3的两个参数。 

 

由此至少可以说明
 
 

 

<pre name="code" class="cpp"><pre name="code" class="cpp"><pre name="code" class="cpp">PEXCEPTION_POINTERS xpointers;
 

 

 struct _EXCEPTION_REGISTRATION   { 

      struct _EXCEPTION_REGISTRATION *prev; 

 void (*handler)(PEXCEPTION_RECORD,PEXCEPTION_REGISTRATION,PCONTEXT,PEXCEPTION_RECORD); 

 struct scopetable_entry *scopetable; 

 int trylevel; 

 int _ebp; 

 }; 

 

 这个结构才是vc6扩展的SEH节点。到此本文可以完结了,但是调试代码时发现一个有趣的地方,就是从except_handler3跳去过滤函数执行时,except_handler3为了使得过滤函数中能使用异常函数中定义的栈变量,用了save/load ebp大法: 

 

 

00401273   push        ebp
00401274   lea         ebp,[ebx+10h]
00401277   call        dword ptr [edi+ecx*4+4]

call指令将调用scopetable数组中定义的过滤函数,然而在此之前except_handler3从[ebx+10h]处恢复ebp的值,那么[ebx+10h]是啥?首先可以确定ebx还是进入except_handler3时设置的ebx,其指向_EXCEPTION_REGISTRATION。_EXCEPTION_REGISTRATION+10H不就是_EXCEPTION_REGISTRATION!ebp吗?这个ebp是进入main函数时保存的函数帧,因此可以通过相对于ebp的偏移取得main函数中的变量。 

 

至于GetExceptionInformation()函数,就是取except_handler3设置的xpointer地址:
 

 

18:       __except(filter1(GetExceptionInformation()))
004010B5   mov         ecx,dword ptr [ebp-14h]
004010B8   push        ecx
004010B9   call        @ILT+5(filter1) (0040100a)
004010BE   add         esp,4

在正式进入过滤函数后,由于有一次push ebp修改了函数栈帧,因此不能在过滤函数用调用GetExceptionInformation 

 

 

 


 
 

 


                

        

        

    




    

      

        

            

              
                
                  Eugene800
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
vc++6对windows SEH扩展分析

				
			

			

				

					lixiangminghate的专栏
				

				

					08-11
					
					943
					
				

			

		

		

			
				
相传FS:[0]指向线程的异常处理链表。汇编高手们为了向链表中添加异常处理节点,通常会如下编码:
push ExceptHandler  1)
mov eax,fs:[0]      2)
push eax            3)
mov fs:[0],esp      4)    真是简单的4句话,够小鸟们领悟半天了。首先看异常处理块的定义:
struct EXCEPTION_REGIS

			
		

	



                

              
                



	

		

			

				
					
vc2005 seh新认识

				
			

			

				

					weixin_34144848的博客
				

				

					06-20
					
					203
					
				

			

		

		

			
				
由于生计问题,我不得不写一段关于异常处理的代码,我的程序是多线程的,我的目的是要在某个线程发生异常的时候结束本线程,保存出错信息,重新启动一个新线程增加程序稳定性,于是呼打开vs 2005就开工了,新建一个测试程序
void__stdcallSetCatchProc(void*pCProc){__asm{pushpCProcpushfs:[0]m...

			
		

	



                


  
              

                


	

		

			

				
					
C++中使用SEH

				
			

			

				

					weixin_34253126的博客
				

				

					06-29
					
					778
					
				

			

		

		

			
				
Alt+F7 => C++ => Code Generation => Enable C++ Exception,选择”Yes with SHE Exceptions”  另外,用VS2005编译驱动的时候,如果使用SEH,可能会把kernel32.dll link到驱动里。这样讲导致驱动不能正常加载。  简单的办法是:  Alt+F7 => Linker => In...

			
		

	





	

		

			

				
					
Win32结构化异常处理(SEH)——终止处理程序(__try/__finally) 

				
			

			

				

					mm350670610的专栏
				

				

					04-29
					
					2199
					
				

			

		

		

			
				
环境:VC++6.0, Windows XP SP3        当我们想编写一个健壮的程序时,我们会用到异常处理,对各种异常进行考虑并进行处理。现在在各种语言都有自己的异常处理机制,比如C++的try, catch, throw,JAVA也一样。不过它们的实现都要基于OS。        Microsoft为了使系统程序和应用程序更加健壮,把异常处理加入了Windows。这里的

			
		

	



		

			
		



	

		

			

				
					
vc++6中的结构化异常处理try-except-finally语句

				
			

			

				

					冷月宫主的专栏
				

				

					11-28
					
					1310
					
				

			

		

		

			
				
原帖及讨论:http://bbs.bc-cn.net/dispbbs.asp?boardID=55&ID=166791

*/ --------------------------------------------------------------------------------------
*/ 出自: 编程中国  http://www.bc-cn.net
*/ 作者: miss

			
		

	





	

		

			

				
					
Windows_SEH.zip_SEH

				
			

			

				

					09-23
				

			

		

		

			
				
SEH提供了对异常的精确控制,允许程序员处理特定类型的异常,从而提高程序的健壮性和安全性。同时,由于SEH是内置于操作系统的,因此它的性能通常优于用户自定义的异常处理机制。  ### 6. 防止堆栈溢出  SEH也可以...

			
		

	





	

		

			

				
					
MinGW x86-64-8.1.0-release-posix-seh-rt-v6-rev0

					
最新发布

				
			

			

				

					05-06
				

			

		

		

			
				
MinGW (Minimalist GNU for Windows) 是一个开源项目,它为Windows操作系统提供了GCC(GNU Compiler Collection)编译器和其他GNU工具集,使得开发者能够在Windows环境下使用标准的GNU工具进行C、C++等语言的开发。...

			
		

	





	

		

			

				
					
windows异常处理SEH教程.zip

				
			

			

				

					01-24
				

			

		

		

			
				
win异常处理SEH教程.zip 先天型SEH 后天型SEH VEH C++ EH

			
		

	





	

		

			

				
					
mingw64-windows.zip

				
			

			

				

					04-26
				

			

		

		

			
				
MingW64是一款针对Windows操作系统的开源编译工具集,它是MinGW(Minimalist GNU for Windows)的扩展,专门设计用于在Windows上构建64位应用程序。标题中的"mingw64-windows.zip"表明这是一个包含MingW64的Windows...

			
		

	





	

		

			

				
					
SEH分析笔记(x86篇)

				
			

			

				

					10-21
				

			

		

		

			
				
综上所述,SEH分析不仅涉及对x86汇编语言的掌握,还包括对Windows系统内部工作原理的理解。通过对SEH的深入研究,我们可以提升程序的健壮性和安全性,同时也能为故障排查和恶意代码分析提供有力工具。希望本文的分享...

			
		

	





	

		

			

				
					
Windows异常世界历险记(三)——VC6中结构化异常处理机制的反汇编分析(上)

				
			

			

				

					LPWSTR的博客
				

				

					01-29
					
					563
					
				

			

		

		

			
				
在《Visual C++异常处理机制原理与应用》部分,我们讲解了Visual C++提供的结构化异常处理机制,并对其中比较简单的终止型异常处理程序在部分条件下(自然执行、提前越出、__leave关键字等)进行了反汇编分析。下面我们继续对整个Visual C++结构化异常处理机制进行分析。

本次分析的目标环境是VC++ 6.0,这是一款已经有些“美人迟暮”的集成开发环境。使用它进行分析,主要原因如

			
		

	





	

		

			

				
					
VC7 编译生成的__SEH_prolog和__SEH_epilog分析

				
			

			

				

					wrmsr的专栏
				

				

					04-29
					
					1328
					
				

			

		

		

			
				
在线搜索
|
有问题找看雪






VC7 编译生成的__SEH_prolog和__SEH_epilog分析





标 题:VC7 编译生成的__SEH_prolog和__SEH_epilog分析
作 者:Modifix
时 间:2010-10-04 00:29:20

链 接:http://bbs.pediy.com/showthread.php?t

			
		

	





	

		

			

				
					
用C实现SEH的例子&如何跟进SEH

				
			

			

				

					weixin_34380296的博客
				

				

					05-12
					
					130
					
				

			

		

		

			
				
代码

#include<windows.h>#include<stdio.h>DWORDscratch;typedefstruct_MYCONTEXT{DWORDContextFlags;DWORDDr0;DWORDDr1;DWORDDr2;DWORDDr3;DWORDDr...

			
		

	





	

		

			

				
					
关于在DLL中的“C++异常”与“SEH异常”的一点心得与说明

				
			

			

				

					BoweirrKing的专栏
				

				

					01-12
					
					1218
					
				

			

		

		

			
				
概念:
“C++异常”就是 try{}catch(...){}
“SEH异常”就是 __try{} __except(-1/0/1){}
(关于这两种异常,如有不了解的地方,网上有很多资料可以参考)


目前微软所有的VC编译器(从VC6到VC2010),都默认是打开对C++异常的编译支持的(位于项目选项中的“代码生成”->启用C++异常:/EHsc,VC6是Enable Except

			
		

	





	

		

			

				
					
简单演示Exploit SEH原理(未开启SafeSEH模块)

				
			

			

				

					lixiangminghate的专栏
				

				

					08-24
					
					1345
					
				

			

		

		

			
				
前面写了不少SEH相关文章,这里来个复杂点的栈溢出SEH。文章不重复解释SEH运行原理,但对主要步骤加以调试和注释,另外本文参考考了雪上 Exploit 编写系列教程第三篇_基于SEH的Exploit 一文。一般来说Exploit重在溢出,不过本文旨在是演示Exploit SEH的原理,因此省略溢出过程直接在栈上修改。
程序源码(vc++6.0 Debug版本)如下:    
#include

			
		

	





	

		

			

				
					
C++SEH异常处理

				
			

			

				

					atceedsun的专栏
				

				

					08-02
					
					4413
					
				

			

		

		

			
				
参考以下两篇微软的文章:

			
		

	





	

		

			

				
					
C程序使用openmp时没有起到作用

				
			

			

				

					tianshi0007的专栏
				

				

					10-31
					
					5139
					
				

			

		

		

			
				
首先看C文件text.c ,代码如下:
#include 
#include 
#include 
int main(int argc,char* argv[])
{
        int i = 0;
        #pragma omp parallel 
        printf("hello world\n");  return 0;}


其中下面的这条语句的作用就是启

			
		

	





	

		

			

				
					
Sales_item.h

				
			

			

				

					点滴
				

				

					07-06
					
					8077
					
				

			

		

		

			
				
这个是《C++primer》书中介绍和使用的Sales_item.h类
经本人测试可以使用。
头文件内容如下:

#ifndef SALESITEM_H
#define SALESITEM_H
#include 
#include 
 
 
class Sales_item
{
public:
    Sales_item(const std::string &book):isbn(boo

			
		

	





	

		

			

				
					
绕过windows 7 浏览器内存保护1

				
			

			

				

					08-03
				

			

		

		

			
				
"这篇文档主要讨论了如何绕过Windows 7中的浏览器内存保护机制,特别是针对Windows操作系统的一系列安全防护措施进行了回顾,包括GS、SafeSEHSEHOP、HeapProtection、DEP和ASLR等。"  在Windows 7中,为了增强...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值