Windows异常世界历险记(五)——VC6中结构化异常处理机制的反汇编分析(下)

最新推荐文章于 2022-06-08 20:19:04 发布
最新推荐文章于 2022-06-08 20:19:04 发布
阅读量680 收藏 1
点赞数
分类专栏: 调试与反汇编 文章标签: VC SEH 异常处理 逆向 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpwstr/article/details/86513546
版权

在本系列的上一篇文章Windows异常世界历险记(四)——VC6中结构化异常处理机制的反汇编分析(中)中,给出了针对VC6的异常处理机制进行逆向后得到的伪码。在本文中,我们仍然以之前写的小程序为例,通过调试的方式结合我们得到的VC6结构化异常处理的伪码,对其运行机制进行分析。

破局

在RaiseExcept中,即将触发异常时的情形如下:

0:000> p
eax=cccccccc ebx=003ea000 ecx=00000000 edx=00694687 esi=00401540 edi=0019fe5c
eip=00401143 esp=0019fe0c ebp=0019fe74 iopl=0         nv up ei pl nz na pe cy
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000207
SEHTest1!RaiseExcept+0x43:
00401143 c7050000000000000000 mov dword ptr ds:[0],0  ds:002b:00000000=????????

先看看SEH链:

0:000> dd fs:[0]
0053:00000000  0019fe64 001a0000 0019c000 00000000
0:000> dt _EXCEPTION_REGISTRATION_RECORD 0019fe64
ntdll!_EXCEPTION_REGISTRATION_RECORD
   +0x000 Next             : 0x0019fed0 _EXCEPTION_REGISTRATION_RECORD
   +0x004 Handler          : 0x00401460     _EXCEPTION_DISPOSITION  SEHTest1!_except_handler3+0
0:000> dt _EXCEPTION_REGISTRATION_RECORD 0x0019fed0
ntdll!_EXCEPTION_REGISTRATION_RECORD
   +0x000 Next             : 0x0019ff60 _EXCEPTION_REGISTRATION_RECORD
   +0x004 Handler          : 0x00401460     _EXCEPTION_DISPOSITION  SEHTest1!_except_handler3+0
0:000> dt _EXCEPTION_REGISTRATION_RECORD 0x0019ff60
ntdll!_EXCEPTION_REGISTRATION_RECORD
   +0x000 Next             : 0x0019ffcc _EXCEPTION_REGISTRATION_RECORD
   +0x004 Handler          : 0x00401460     _EXCEPTION_DISPOSITION  SEHTest1!_except_handler3+0
0:000> dt _EXCEPTION_REGISTRATION_RECORD 0x0019ffcc
ntdll!_EXCEPTION_REGISTRATION_RECORD
   +0x000 Next             : 0x0019ffe4 _EXCEPTION_REGISTRATION_RECORD
   +0x004 Handler          : 0x775286d0     _EXCEPTION_DISPOSITION  ntdll!_except_handler4+0
0:000> dt _EXCEPTION_REGISTRATION_RECORD 0x0019ffe4
ntdll!_EXCEPTION_REGISTRATION_RECORD
   +0x000 Next             : 0xffffffff _EXCEPTION_REGISTRATION_RECORD
   +0x004 Handler          : 0x7753518e     _EXCEPTION_DISPOSITION  ntdll!FinalExceptionHandlerPad14+0

由上述结果可得出结论:目前一共安装有5个SEH异常处理函数,其中前3个是VC6自己的,后两个是系统的。对于前3个VC6安装的SEH节点,是在标准的SEH链结构EXCEPTION_REGISTRATION_RECORD的基础上“加了料”形成的,在上篇文章中已经给出了其结构,我们将其暂且命名为VC6_EXCEPTION_REGISTRATION_RECORD吧:

typedef struct VC6_EXCEPTION_REGISTRATION_RECORD
{
	DWORD	dwCurrentESP;						// 保存的ESP值
	PVC6_EXCEPTION_INFORMATION pExceptInfo;		// 异常信息结构指针
	EXCEPTION_REGISTRATION_RECORD pSEHNode;		// 经典的异常链节点
	PVC6_SCOPETABLE	pScopeTable;			// VC的惯用伎俩——表结构
	DWORD	dwTryLevel;					// 当前try的层级
	DWORD	dwEBP;			// 这个其实不是本结构的成员,只是本结构在栈上挨着函数入口处压入的EBP而已
}VC6_EXCEPTION_REGISTRATION_RECORD, *PVC6_EXCEPTION_REGISTRATION_RECORD;

需要指出的是,VC6_EXCEPTION_REGISTRATION_RECORD结构中最后一个成员dwEBP是我们根据栈结构添加进去的,因为在except_handler3中会用到。下面就按VC6_EXCEPTION_REGISTRATION_RECORD结构对前3个属于VC6的异常处理节点进行解析:

结构 第一节点 第二节点 第三节点
dwCurrentESP 0019fe0c 0019fe7c 0019ffcc
pExceptInfo(此时还没填) 00000800 0019fee0 00401460
pSEHNode.Next 0019fed0 0019ff60 00422248
pSEHNode.Handler 00401460 00401460 00000000
pScopeTable 004220c8 00422138 0019ff80
dwTryLevel 00000001 00000001 74d6fe09
dwEBP 0019fee0 0019ff70 003ea000

OK了,下面主要来看下各节点的ScopeTable,ScopeTable的结构定义在上一篇中被我们命名为了


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  LPWSTR
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Windows异常世界历险记(四)——VC6结构化异常处理机制反汇编分析

				
			

			

				

					LPWSTR的博客
				

				

					01-16
					
					444
					
				

			

		

		

			
				
本文主要分析VC6结构化异常处理机制的tryLevel含义,栈结构并给出except_handler3函数的逆向还原结果。

			
		

	



                

              
                



	

		

			

				
					
Windows异常世界历险记(三)——VC6结构化异常处理机制反汇编分析(上)

				
			

			

				

					LPWSTR的博客
				

				

					01-29
					
					591
					
				

			

		

		

			
				
在《Visual C++异常处理机制原理与应用》部分,我们讲解了Visual C++提供的结构化异常处理机制,并对其比较简单的终止型异常处理程序在部分条件下(自然执行、提前越出、__leave关键字等)进行了反汇编分析。下面我们继续对整个Visual C++结构化异常处理机制进行分析。

本次分析的目标环境是VC++ 6.0,这是一款已经有些“美人迟暮”的集成开发环境。使用它进行分析,主要原因如

			
		

	



                


  
              

                


	

		

			

				
					
VC6异常抛出

				
			

			

				

					丰空岛主(Vega Prime,Android,LabWindows,ThreeJS,Python,OpenCV)
				

				

					11-12
					
					812
					
				

			

		

		

			
				
在程序开发异常抛出是必要的工作,
看VC6下如何异常抛出。
 
__try 
 { 
  int ret=0;
  int m=ret / 0;
  
  ::MessageBox(0,"right","Err" ,0);//在realease编译下可以弹出这个对话框
  
  
 } 
 __except(1) //三个参数的详细解释。
 { 
  ::Messa

			
		

	





	

		

			

				
					
c/vc++/MFC异常处理/结构化异常处理 浅析

				
			

			

				

					08-16
				

			

		

		

			
				
c/vc++/结构化异常处理 浅析
  C语言异常处理
 C++语言异常处理 异常处理函数
MFC异常处理
 结构化异常处理

			
		

	



		

			
		



	

		

			

				
					
vc++6.0调试 出现汇编代码的解决办法

				
			

			

				

					MOKA
				

				

					02-28
					
					2776
					
				

			

		

		

			
				
碰到了这个问题,我才知道上网上搜索,才知道了原来win32还有2个模式,一个是release,一个是debug模式。。。。
 
  拿到别人写的程序,想加断点调试,但是由于该程序设置的是win32 Release模式,不太方便,使用Project->settings,把里面settings由Win32 Release改为Win32 Debug,但是关了以后,再打开,就又恢复成Win32 Rel

			
		

	





	

		

			

				
					
C语言面试题汇编

					
热门推荐

				
			

			

				

					forlong401的专栏--有问题上:http://www.androidren.com
				

				

					11-20
					
					1万+
					
				

			

		

		

			
				
1.局部变量能否和全局变量重名?   
  答:能,局部会屏蔽全局。要用全局变量,需要使用"::" ;局部变量可以与全局变量同名,在函数内引用这个变量时,会用到同名的局部变量,而不会用到全局变量。对于有些编译器而言,在同一个函数内可以定义多个同名的局部变量,比如在两个循环体内都定义一个同名的局部变量,而那个局部变量的作用域就在那个循环体内。

2.如何引用一个已经定义过的全局变量?

			
		

	





	

		

			

				
					
JAVA上百实例源码以及开源项目源代码

				
			

			

				

					12-11
				

			

		

		

			
				
 凯撒加密解密程序 1个目标文件 1、程序结构化,用函数分别实现 2、对文件的加密,解密输出到文件 利用随机函数抽取幸运数字 简单 EJB的真实世界模型(源代码) 15个目标文件 摘要:Java源码,初学实例,基于EJB的真实...

			
		

	





	

		

			

				
					
vc 编译器对异常的设置

				
			

			

				

					xbgprogrammer的专栏
				

				

					02-06
					
					569
					
				

			

		

		

			
				
vc2005try - catch块默认不包含对SEH的处理,只包含对c++异常的处理。如果某Exe设置包含SEH处理,则此Exetry-catch可以处理seh异常,但并不意味着其所依赖的dlltry-catch可以处理seh异常,要具体看dll的工程设置【启用c++异常】的设置,同样,若只是dll工程【启用c++异常】设置为可以处理seh异常,也只是dlltry-catch可以处

			
		

	





	

		

			

				
					
VC下发布的Release版程序的异常捕捉

				
			

			

				

					理性的幻想
				

				

					03-07
					
					761
					
				

			

		

		

			
				
本文转自 http://blog.csdn.net/pomelowu/archive/2005/08/02/444254.aspx 寻找Release版程发生异常退出的地方比Debug版麻烦得多。发生异常的时候windows通常会弹出一个错误对话框,点击详细信息,我们能获得出错的地址和大概的出错信息,然后可以用以下办法分析我们的程序。 一.     用MAP文件定位异常代码位置。

			
		

	





	

		

			

				
					
VC6.0在Win10系统下调试异常

				
			

			

				

					md0011的专栏
				

				

					06-08
					
					860
					
				

			

		

		

			
				
1)菜单Tools --> Options



如上图所示,进行修改。

2)重启VC6.0即可。




			
		

	





	

		

			

				
					
深入探索Win32结构化异常处理

				
			

			

				

					ldh_cq的专栏
				

				

					10-21
					
					499
					
				

			

		

		

			
				
在Win32操作系统提供的所有功能,使用最广泛而又没有公开的恐怕要数结构化异常处理( Structured Exception Handling ,SEH )
 了。当你考虑Win32结构化异常处理时,也许会想到__try、__finally和__except等术语。可能你在任何一本讲解Win32的好书上 都能找到关于SEH较为详细的描述,甚至Win32 SDK文档也对使用__try、__fi

			
		

	





	

		

			

				
					
26种对付反调试的方法

				
			

			

				

					weixin_34235371的博客
				

				

					05-15
					
					4570
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
逆向调用函数与原函数地址探究

				
			

			

				

					小姑仔的博客
				

				

					02-16
					
					474
					
				

			

		

		

			
				
最近逆向了一个普通的小程序,源程序如下
#include  	<stdio.h>
long		add(long   a,long   b)
{
long    x = a,y = b;
return  (x+y);
}
int    main(int   argc,char*   argv[])
{
long    a = 1, b = 2;
printf("%d\n",add(a,b...

			
		

	





	

		

			

				
					
VC++异常捕获

				
			

			

				

					chinabinlang的专栏
				

				

					06-12
					
					4485
					
				

			

		

		

			
				
这里强调了是VC++异常捕获;
通常在C++异常捕获是:


void Func1()
{
int* p = 0x00000000;   // pointer to NULL
*p = 10;  
}





try
{
Func1();
}
catch (...)
{
MessageBox(L"in finally");
 
throw;

			
		

	





	

		

			

				
					
FS寄存器的作用

				
			

			

				

					tanweng的专栏
				

				

					05-15
					
					7929
					
				

			

		

		

			
				
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如

代码:
lkd> u PsGetCurrentProcess
nt!IoGetCurrentProcess:
804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h]
804f0706 8b4044          mov

			
		

	





	

		

			

				
					
2022年6月电子学会图形化编程考试三级解析:古堡历险记

				
			

			

				

					
				

			

		

		

			
				
"2022年6月电子学会图形化青少年等级考试三级等级考试试卷编程题解析"  本文主要涉及的是一个针对青少年的图形化编程考试的题目解析,旨在测试考生对图形化编程语言的理解和应用能力。考试的编程题分为两个部分:36....

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值