Windows异常世界历险记(二)——Win32用户层下SEH机制之对RtlUnwind的逆向分析

最新推荐文章于 2023-09-14 09:43:40 发布
最新推荐文章于 2023-09-14 09:43:40 发布
阅读量2.6k 收藏 10
点赞数 3
分类专栏: 调试与反汇编 文章标签: RtlUnwind 逆向工程 反汇编 SEH 结构化异常处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpwstr/article/details/78714486
版权
本文详细探讨了Windows用户层的结构化异常处理(SEH)机制,特别是RtlUnwind函数的逆向分析。作者指出,局部展开并非由系统自动完成,而是需要用户手动调用RtlUnwind。文章介绍了RtlUnwind的参数作用,并分享了逆向得到的C语言版本函数代码。同时,文章还提到了在Win8.1 X86平台上寻找RtlUnwind的挑战以及调用的相关子函数分析。
摘要由CSDN通过智能技术生成

这篇文章写于14年10月,彼时正对Windows的SEH机制感兴趣,且国庆假期时间比较充裕,便记了几篇相关的笔记。后来逐渐忙于课业便没继续分析下去,3年来多次想完成这个系列,但每次刚一开头总会被各种琐事打断,一直未能如愿,希望这一次能如愿以偿地完成分析吧。


2017.12.04补充:
当时分析这个函数的动机有以下几个方面:

  1. Matt Pietrek在他的大作《A Crash Course on the Depths of Win32 Structured Exception Handling》中提到了退出展开,其中有这么一段话:

    When an exception occurs, the system walks the list of EXCEPTION_REGISTRATION structures until it finds a handler for the exception. Once a handler is found, the system walks the list again, up to the node that will handle the exception. During this second traversal, the system calls each handler function a second time. The key distinction is that in the second call, the value 2 is set in the exception flags. This value corresponds to EH_UNWINDING.

    我认为这段话是不准确的,事实上这样的操作被称为局部展开,是用户代码自愿进行的(言下之意就是这部分操作不是由Windows的用户层结构化异常处理机制来完成的)。在Matt Pietrek上面列举的例子中,由于在最外层使用了C/C++结构化异常处理中的异常处理块,因此导致内部原生异常处理程序不处理异常、执行流程转到外部的try-except块后,在其中(准确的说是except_handler4函数)执行了局部展开操作。因此,“局部展开会由系统完成”是一个很普遍的误会,网上很多文章都有类似的问题。就连《Windows核心编程》中的最后一部分也直接取名叫“结构化异常处理”,而事实上,其讲解的仅仅只是Visual Studio中C/C++的结构化异常处理机制而已,而局部展开行为尽管合理,但也需要用户手动进行,在系统的用户层结构化处理中是不会进行局部展开的。

  2. 其实局部展开的秘密,就隐藏在RtlUnwind函数的代码中。长时间以来,这个函数都处于undocument状态,虽然现在(2017年12月)可以在MSDN上查到了,但也是寥寥数语,不如自己分析来的痛快。

  3. 在漏洞利用中,SEH一直是一个热点话题。在经历了几轮魔道斗争后,SEH机制越来越成熟。而关于SEH安全机制的文章,网上一抓一大把,大多拿出的是伪代码和讲解,挖出代码进行分析的很少很少。本着“大海捞针,总不死心”和“眼见为实”的精神,咱们自己来分析一下。)

  4. Visual C++中的结构化异常处理是构建在Windows的用户层异常处理机制之上的。因此有必要先了解后者,以便更好地分析前者。

逆向成果

RtlUnwind函数是一个用户层的Windows API函数,其作用是执行SEH的展开操作(正是由于Windows的SEH机制不自动进行展开操作,才提供了此API,供需要执行该操作的用户调用)。下面介绍其参数:

void WINAPI RtlUnwind(
  _In_opt_ PVOID             TargetFrame,
  _In_opt_ PVOID             TargetIp,
  _In_opt_ PEXCEPTION_RECORD ExceptionRecord,
  _In_     PVOID             ReturnValue
);

  1. TargetFrame :

    • 当进行局部展开时,传入目标EXCEPTION_REGISTRATION_RECORD结构地址,当完成展开操作后,FS:[0]将指向这里。而执行该函数前的fs:[0]指向的节点到目标节点之间的前闭后开的所有合法节点中的处理函数都会被调用,被调用时传入的ExcepttionRecord.ExceptionFlags将包含EXCEPTION_UNWINDING操作。
    • 当进行全局展开时,传入NULL即可。此时SEH链上所有节点的SEH处理函数都会被调用,调用时传入的ExcepttionRecord.ExceptionFlags将包含EXCEPTION_EXIT_UNWIND标志。
    • 其余情况下需要谨慎传入,特别是不能传入比FS:[0]更低的地址,否则将引发异常。

  2. TargetIp:虽然很多地方说通过这个参数可以设定函数执行完成后要执行的指令地址,但经过分析,至少在Win8.1和XP下,这个参数并没有什么用。

  3. ExceptionRecord:在展开过程中,传递给被调用的异常处理函数的EXCEPTION_RECORD结构。如果传入NULL,将由本函数自己构造一个,其构造的那个ExceptionCode为STATUS_UNWIND,ExceptionAddress为调用本函数时压入的返回地址。

  4. ReturnValue:作为传给被调用的异常处理函数的CONTEXT结构中的eax值与恢复线程上下文环境时的eax值。

先贴上逆向的结果——C语言版本的RtlUnwind的代码(在IDA里按了F5然后对着3年前自己的逆向成果得来的):

void __stdcall RtlUnwind(PVOID TargetFrame, PVOID TargetIp, PEXCEPTION_RECORD ExceptionRecord, PVOID ReturnValue)
{
  PEXCEPTION_RECORD finalExcepttionRecord; // esi
  unsigned int dwCurrentSEHNode; // ebx
  unsigned int pfnHandler; // ecx
  void *pExceptionRecord; // ecx
  int dwRet; // eax
  int *dwPrevSEHNode; // ST10_4
  unsigned int StackLimit; // [esp+Ch] [ebp-384h]
  unsigned int StackBase; // [esp+10h] [ebp-380h]
  unsigned int DispatcherContext; // [esp+14h] [ebp-37Ch]
  EXCEPTION_RECORD tempExceptionRecord; // [esp+18h] [ebp-378h]
  EXCEPTION_RECORD temp2ExceptionRecord; // [esp+68h] [ebp-328h]
  CONTEXT stContext; // [esp+B8h] [ebp-2D8h]
  int savedregs; // [esp+390h] [ebp+0h]
  void *retaddr; // [esp+394h] [ebp+4h]

  finalExcepttionRecord = ExceptionRecord;
  RtlpGetStackLimits((void ***)&StackLimit, (void ***)&StackBase);// 获取线程的栈底和栈顶
  if ( !ExceptionRecord )                       // 如果没有传入ExceptionRecord,则构造一个,作为出现异常时抛出的那个
                                                // 否则就用传入的那个
  {
    finalExcepttionRecord = &temp2ExceptionRecord;
    temp2ExceptionRecord.ExceptionCode = 0xC0000027;// 0xC0000027 = STATUS_UNWIND
    temp2ExceptionRecord.ExceptionFlags = 0;
    temp2ExceptionRecord.ExceptionRecord = 0;
    temp2ExceptionRecord.ExceptionAddress = retaddr;// 这里取出的是调用本函数之前call压入的返回地址
    temp2ExceptionRecord.NumberParameters = 0;
  }
  if ( TargetFrame )
    finalExcepttionRecord->ExceptionFlags |= 2u;// #define EXCEPTION_UNWINDING 0x2
                                                // 如果传入的TargetFrame非空,则进行局部展开
  else
    finalExcepttionRecord->ExceptionFlags |= 6u;// #define EXCEPTION_EXIT_UNWIND 0x4 
                                                // 如果传入的TargetFrame为NULL,则进行退出展开
  RtlpCaptureContext(&savedregs, (int)&stContext);// 填写stContext结构,通用寄存器组清0,
                                                // EIP设置为call本函数时压入的返回地址
                                                // EBP设置为调用本函数时的EBP值(即前一帧的EBP)
                                                // ESP设置为指向TargetFrame的值(因为从本函数ret后这里就应该是ESP该指向的位置)
  stContext.Esp += 16;                          // 上下文结构中的ESP结构加上16,平衡了压入的4个参数
  stContext.Eax = (unsigned int)ReturnValue;    // 将传入的ReturnValue设置给eax作为返回值
  dwCurrentSEHNode = RtlpGetRegistrationHead(); // 从fs:0处获得异常链的首节点
  while ( dwCurrentSEHNode != 0xFFFFFFFF )      // 当前线程注册了自己的SEH处理函数,而非kernel32默认的那个
  {
    if ( (PVOID)dwCurrentSEHNode == TargetFrame )// 如果已到达指定节点,则按照之前设定的Context恢复线程的环境并运行
    {
      ZwContinue(&stContext, 0);
    }
    else if ( TargetFrame && (unsigned int)TargetFrame < dwCurrentSEHNode )// 传入的TargetFrame不为NULL且SEH链首节点高于TargetFrame,抛异常
                                                // (因为合法的SEH节点肯定在栈中,则从SEH首节点开始,应该依次降低)
                                                // 而这里反到首节点在目标节点下方,肯定传入的参数有问题
    {
      tempExceptionRecord.NumberParameters = 0;
      tempExceptionRecord.ExceptionCode = 0xC0000029;
      tempExceptionRecord.ExceptionFlags = 1;
      tempExceptionRecord.ExceptionRecord = finalExcepttionRecord;
      RtlRaiseException(&tempExceptionRecord);
    }
    if ( dwCurrentSEHNode < StackLimit          // 异常情况:SEH首节点比栈顶极限位置还高(这里的高指的是地址更低)
      || dwCurrentSEHNode + 8 > StackBase       // 异常情况:SEH首节点的最末尾成员比栈底还要低(这里的低指的是地址更高)
      || dwCurrentSEHNode & 3                   // 异常情况:SEH首节点地址不能被4整除(没对齐)
      || (pfnHandler = *(_DWORD *)(dwCurrentSEHNode + 4), pfnHandler < StackBase) && pfnHandler >= StackLimit// 异常情况:异常处理节点的函数地址落在栈空间中(说明多半是被溢出了)
      || !RtlIsValidHandler(pfnHandler, 0, (int)&stContext) )// 异常情况:被SafeSEH机制给判定为非法处理函数地址
    {                                           // 以上异常情况,抛出异常,拒绝执行处理函数
      tempExceptionRecord.NumberParameters = 0;
      tempExceptionRecord.ExceptionCode = 0xC0000028;
      tempExceptionRecord.ExceptionFlags = 1;
      tempExceptionRecord.ExceptionRecord = finalExcepttionRecord;
      RtlRaiseException(&tempExceptionRecord);
    }
    else
    {
      dwRet = RtlpExecuteHandlerForUnwind(      // 调用目标SEH节点的处理函数,执行退出前的清理动作
                pExceptionRecord,
                (int)finalExcepttionRecord,
                dwCurrentSEHNode,
                (int)&stContext,
                (int)&DispatcherContext,
                *(_DWORD *)(dwCurrentSEHNode + 4))
            - 1;                                // 这里很顽皮,居然在原SEH函数的结果基础上减了1
                                                // ExceptionContinueExecution = 0n0 //已处理异常,程序可继续执行
                                                // ExceptionContinueSearch = 0n1 //函数不处理该异常,继续搜寻异常处理函数链
                                                // ExceptionNestedException = 0n2 //在处理异常的过程中产生了新的异常
                                                // ExceptionCollidedUnwind = 0n3 //嵌套展开
                                                // 分别减1
      if ( dwRet )                              // 如果不为ExceptionContinueSearch,则表明异常处理函数没按套路出牌
      {
        if ( dwRet == 2 )                       // 如果返回的是CollidedUnwind,则将DispatcherContext作为下一个SEH节点展开
        {
          dwCurrentSEHNode = DispatcherContext;
        }
        else                                    // 否则如果返回ContinueExecution、NestedException都会抛异常
        {
          tempExceptionRecord.NumberParameters = 0;
          tempExceptionRecord.ExceptionCode = 0xC0000026;
          tempExceptionRecord.ExceptionFlags = 1;
          tempExceptionRecord.ExceptionRecord = finalExcepttionRecord;
          RtlRaiseException(&tempExceptionRecord);
        }
      }
      dwPrevSEHNode = (int *)dwCurrentSEHNode;
      dwCurrentSEHNode = *(_DWORD *)dwCurrentSEHNode;// 工作指针后移
      RtlpUnlinkHandler(dwPrevSEHNode);         // 将fs:0指向当前节点的下一个节点,即取消掉本节点
    }
  }
  if ( TargetFrame == (PVOID)0xFFFFFFFF )       // 如果传入的TargetFrame为0xFFFFFFFF,也不可能把这个节点干掉了,表明也到头了,该返回了
    ZwContinue(&stContext, 0);
  else
    ZwRaiseException(finalExcepttionRecord, &stContext, 0);// 如果传入的TargetFrame为其他值,则抛异常(如果匹配到了的话,早在while中就恢复上下文执行了)
}


以下是2014.10.08的笔记:

逆向过程

不知由于何种原因,在Win 8.1 X86平台下,试图用静态方式找出RtlUnwind函数的宿主还费了一番功夫。首先,在kernel32.dll的导出表中发现了该函数,可是立即又发现其仅是一个傀儡:

.text:6B81C83C     ; void __stdcall RtlUnwindStub(PVOID TargetFrame, PVOID TargetIp, PEXCEPTION_RECORD ExceptionRecord, PVOID ReturnValue)
.text:6B81C83C     public _RtlUnwindStub@16
.text:6B81C83C     _RtlUnwindStub@16 proc near
.text:6B81C83C
.text:6B81C83C     TargetFrame= dword ptr  4
.text:6B81C83C     TargetIp= dword ptr  8
.text:6B81C83C     ExceptionRecord= dword ptr  0Ch
.text:6B81C83C     ReturnValue= dword ptr  10h
.text:6B81C83C
.text:6B81C83C 000 jmp     ds:__imp__RtlUnwind@16 ; RtlUnwind(x,x,x,x)
.text:6B81C83C     _RtlUnwindStub@16 endp

于是跟着JMP跳到了:

.idata:6B880A24                 extrn _api_ms_win_core_registry_l1_1_0_NULL_THUNK_DATA:byte:4
.idata:6B880A28 ;
.idata:6B880A28 ; Imports from api-ms-win-core-rtlsupport-l1-2-0.dll
.idata:6B880A28 ;
.idata:6B880A28 ; SIZE_T __stdcall RtlCompareMemory(const void *Source1, const void *Source2, SIZE_T Length)
.idata:6B880A28                 extrn __imp__RtlCompareMemory@12:dword
.idata:6B880A28                                         ; CODE XREF: FSPErrorMessages::CMessageTagCache::LookupNodeByMessageTag(ulong,FSPErrorMessages::MessageTag *)+29p
.idata:6B880A28                                         ; DATA XREF: FSPErrorMessages::CMessageTagCache::LookupNodeByMessageTag(ulong,FSPErrorMessages::MessageTag *)+29r ...
.idata:6B880A2C ; __declspec(dllimport) __stdcall RtlRaiseException(x)
.idata:6B880A2C                 extrn __imp__RtlRaiseException@4:dword
.idata:6B880A2C                                         ; CODE XREF: PsspValidateWin32WalkMarker+9Ep
.idata:6B880A2C                                         ; DATA XREF: PsspValidateWin32WalkMarker+9Er
.idata:6B880A30 ; WORD __stdcall RtlCaptureStackBackTrace(DWORD FramesToSkip, DWORD FramesToCapture, PVOID *BackTrace, PDWORD BackTraceHash)
.idata:6B880A30                 extrn __imp__RtlCaptureStackBackTrace@16:dword
.idata:6B880A30                                         ; DATA XREF: RtlCaptureStackBackTraceStub(x,x,x,x)+6r
.idata
最低0.47元/天 解锁文章
LPWSTR
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
逆向分析NtDLL.dll!RtlUnwind函数
03-22 5330
引言:RtlUnwind是Kernel32.dll!_except_handler3中的全局展开函数。7C957A40 ; int __stdcall RtlUnwind(PVOID TargetFrame, PVOID TargetIp, 7C957A40 PEXCEPTION_RECORD ExceptionRecord, PVOID ReturnValue)7C957A
x86_64-12.2.0-release-win32-seh-msvcrt-rt_v10-rev2.7z
07-03
解压即可使用 注意将bin目录添加到系统path环境变量。 C语言编译必备,用起来很方便 3.1:MinGW 是什么? MinGW 提供了一套简单方便的Windows下的基于GCC 程序开发环境。MinGW 收集了一系列免费的Windows 使用的头文件和库文件;同时整合了GNU ( http://www.gnu.org/ )的工具集,特别是GNU 程序开发工具,如经典gcc, g++, make等。MinGW是完全免费的自由软件,它在Windows平台上模拟了Linux下GCC的开发环境,为C++的跨平台开发提供了良好基础支持,为了在Windows下工作的程序员熟悉Linux下的C++工程组织提供了条件。 3.2:为什么使用MinGW? 因为我和很多IT人士一样,不愿意吊死在$M这棵树上。且不说开源这个理念的伟大,仅仅就Windows的安全性也已经让人们很不安心了。如果再深入一点从编写程序来看,在C++标准尚不成熟时期产生的MFC今天看来基本上就是盖子大叔凭着个人(或许是$M公司^^)理解所使用的C++方言。在我们期盼C++0x时代到来之前,没有任何实际行动能比严格遵循C++的ISO标准更能表达我们对于C Qt开发必备工具,官网下载速度极慢,这里直接分享一个解压直接好用的,版本较高的mingw-win32版本,支持qt-4.8.6编译等,亲测OK的。
深入探索Win32结构化异常处理
06-11 7653
Win32操作系统提供的所有功能中,使用最广泛而又没有公开的恐怕要数结构化异常处理(Structured Exception Handling,SEH)了。当你考虑Win32结构化异常处理时,也许会想到__try、__finally和__except等术语。可能你在任何一本讲解Win32的好书上都能找到关于SEH较为详细的描述,甚至Win32SDK文档也对使用__try、
逆向工程核心原理:SEH
qq_42363151的博客
05-21 1020
reverse
栈解旋unwinding
1
01-14 408
传智扫地僧课程学习笔记。 #include "iostream" using namespace std; class test { public: test( int a = 0,int b = 0) { this->a = a; this->b = b; cout<<"构造函数"<<endl; } ~test() { cout<<"析构函数"<<e
0029__获取当前函数的调用栈函数RtlCaptureStackBackTrace
行潇
09-14 114
获取当前函数的调用栈函数RtlCaptureStackBackTrace_cosmoslife的博客-CSDN博客RtlCaptureStackBackTrace 函数 (winnt.h) - Win32 apps | Microsoft Learn
逆向时如何找到MingGW(GNU)编译程序的main函数
輚至消亡
08-04 1004
为了探究里面究竟怎么回事, 我找到了wrk-v1.2的源码, 其中包含了ZwContinue的实现, 首先先看一下注释, API界面包含了2个参数, 其中让人感兴趣的是PCONTEXT, 这是一个线程上下文环境, 其中包含了线程的执行环境, 也许main函数主线程就是位于这个上下文环境中。方便让线程继续运行。编译器是MingGW生成的可执行文件的显著特点是, 最终运行ZwContinue后程序就莫名其妙启动了, 也找不到main函数。先忘了原本的目的, 既然都来了, 看一下这个API的实现。
vs2010 C++性能调优笔记
boyhailong的专栏
06-26 1276
工具:very sleep,VS2010 Debug都为程序加了什么额外的东西,通过very sleepke
WIN32API编程祥解.rar_API_WINDOWS 编程_Win32 API_win32api programming_w
09-22
WIN32API编程详解主要涉及的是Windows操作系统下应用程序开发的核心技术,主要针对的是使用C或C++语言进行系统级编程的开发者。Win32 API(Application Programming Interface)是一组函数、常量、数据类型和宏,...
x86_64-12.2.0-release-win32-seh-ucrt-rt_v10-rev2.7z
07-03
解压即可使用 注意将bin目录添加到系统path环境变量。 C语言编译必备,用起来很...Qt开发必备工具,官网下载速度极慢,这里直接分享一个解压直接好用的,版本较高的mingw-win32版本,支持qt-4.8.6编译等,亲测OK的。
x86_64-13.2.0-release-win32-seh-msvcrt-rt_v11-rev0.7z
最新发布
12-14
这个版本号13.2.0表示它是一个更新的发布,而"win32-seh"表示它支持Windows异常处理机制(Structured Exception Handling)。"msvcrt"指的是Microsoft Visual C++运行时库,它是许多C和C++程序在Windows上运行所...
windows异常处理SEH教程.zip
01-24
win异常处理SEH教程.zip 先天型SEH 后天型SEH VEH C++ EH
APC异步过程调用
kernweak的博客
09-03 2424
线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断,并保证代码不出现异常,线程将永久占用CPU,何谈控制呢?所以说线程如果想“死”,一定是自己执行代码把自己杀死,不存在“他杀”这种情况! 那如果想改变一个线程的行为该怎么办呢? 可以给他提供一个函数,让它自己去调用,这个函数就是APC(Asyncro...
深入解析结构化异常处理(SEH) - by Matt Pietrek
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
深入解析结构化异常处理(SEH)
A.A的博客
05-09 3230
A Crash Course on the Depths of Win32 Structured Exception Handling 深入解析结构化异常处理(SEH) 原文:http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著 董岩 译   在Win32操作系统提供的所有功能中,使用最广泛...
(转载)A Crash Course on the Depths of Win32 Structured Exception Handling
Kendiv's Box
03-27 2266
A Crash Course on the Depths of Win32 Structured Exception Handling创建时间:2005-03-16文章属性:翻译文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)A Crash Course on the Depths of Win32 Structured Exception HandlingM
浅析Windows异常处理结构与实现
qq_41861225的博客
05-18 703
浅析Windows异常处理结构与实现   Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH(向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。 一、异常处理的个人理解简述   当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
RtlCompareMemory参考手册
秋水之城
10-18 3613
RtlCompareMemory The RtlCompareMemory routine compares blocks of memory and returns the number of bytes that are equivalent. SIZE_T  RtlCompareMemory(      IN CONST VOID   *Source1 ,      IN
WinRAR x64 v5.5中文版去广告过程
热门推荐
LPWSTR的博客
09-02 1万+
采用x64dbg配合IDA,用动态分析和静态分析结合的办法去除WinRAR v5.5 x64版本广告的全过程。主要分为获取广告窗口类名称、阻止注册窗口类和创建窗口几大步骤。
A Crash Course on the Depths of Win32™ Structured Exception Handling 译文.pdf
06-02
A Crash Course on the Depths of Win32™ Structured Exception Handling 译文.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值