SEH原理剖析

最新推荐文章于 2023-05-21 21:02:26 发布
最新推荐文章于 2023-05-21 21:02:26 发布
阅读量1.4k 收藏
点赞数
分类专栏: windows安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mslieng1011/article/details/78453318
版权
本文深入探讨了Windows操作系统的结构化异常处理(SEH)机制,包括TEB数据结构、异常链表的工作原理,以及如何手动注册和处理异常。示例代码展示了如何创建SEH节点、抛出异常以及从异常链中移除SEH节点的过程。
摘要由CSDN通过智能技术生成

用户层数据结构 TEB
TEB 第一个字段是NtTib,NtTib的第一个字段ExceptionList是一个链表的头结点的首
地址.
当产生异常,系统会通过FS:[0]找到这个链表,依次调用处理异常.
typedef struct _EXCEPTION_REGISTRATION_RECORD{
struct _EXCEPTION_REGISTRATION_RECORD* next; //下一个seh
PEXCEPTION_ROUTINE Handler; //异常处理函数
}EXCEPTION_REGISTRATION_RECORD
SEH函数原型
LONG NTAPI sehExcept(
_Inout_struct_EXCEPTION_RECORD* ExceptionRecord; //异常信息
_In_PVOID EstablisherFrame;
_Inout_struct_CONTEXT* ContextRecord; //寄存器状态信息
_In_PVOID DispatcherContext);
//手工注册SEH
//代码实现
LONG NTAPI sehExcept(
_Inout_struct_EXCEPTION_RECORD* ExceptionRecord; //异常信息
_In_PVOID EstablisherFrame;
_Inout_struct_CONTEXT* ContextRecord; //寄存器状态信息
_In_PVOID DispatcherContext)
{
printf(“123456”);
return 0;
}
void fun()
{
EXCEPTION_REGISTRATION_RECORD sehNode; //新SEH
//将异常过滤函数保存到节点中
sehNode.Handler = (P

最低0.47元/天 解锁文章
mslieng1011
关注
专栏目录
异常与调试之SEH、UEH、VEH、VCH以及SEH原理
qq_28518147的博客
01-02 2508
一、SEH 1、终止处理的SEH #include <iostream> #include <windows.h> // 终结处理器: 由 __try 、 __finally 和 __leave 构成。 // 能够保证无论 __try 中的指令以何种方式退出,都必然会 // 执行 __finally 块。【不会处理异常,只做清理操作】 // SEH 的使用范围是线程...
SEH分析笔记(x86篇)
10-21
综上所述,SEH分析不仅涉及对x86汇编语言的掌握,还包括对Windows系统内部工作原理的理解。通过对SEH的深入研究,我们可以提升程序的健壮性和安全性,同时也能为故障排查和恶意代码分析提供有力工具。希望本文的分享...
windows核心编程--SEH(结构异常处理)
Mobidogs Blog
01-17 1722
SEH 的工作原理。         Windows 程序设计中最重要的理念就是消息传递,事件驱动。当GUI应用程序触发一个消息时,系统将把该消息放入消息队列,然后去查找并调用窗体的消息处理函数(CALLBACK),传递的参数当然就是这个消息。我们同样可以把异常也当作是一种消息,应用程序发生异常时就触发了该消息并告知系统。系统接收后同样会找它的“回调函数”,也就是我们的异常处理例程。当然,如果我们
Windows的SEH机理简要介绍
weixin_34408717的博客
03-16 252
1.异常分类 一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。 Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常。但是,在处理各自异常时,会略有区别。 一般来说,异常处理过程可以分为2个阶段,第1...
【逆向工程核心原理SEH
最新发布
qq_42363151的博客
05-21 1299
reverse
[引用]SEH原理
010101的思绪
01-17 3762
原文引用自:http://hi.baidu.com/slaff/blog/item/c6d96d4c0ba180fad72afcb7.htmlSEH研究 不少菜菜在编写ASM程序时往往会不太稳定。然而一旦熟悉了WINDOWS SEH原理后,再回过头编写相应的软件后发现不再会弹出讨厌的警告框了。此外,SEH还被广泛应用于反跟踪以及加解密中。工欲善其事,必先利其器,学习SEH的重要性不言而喻了
7_3_SEH_heap.rar_SEH
09-24
**SEH(结构化异常处理)与堆溢出利用详解** ...通过"7_3_SEH_heap.rar"中的代码和实验,初学者可以深入理解SEH堆溢出的工作原理,并掌握利用技巧。同时,这也提醒开发者在编写代码时要重视安全性,避免引入此类漏洞。
易语言SEH反调试源码-易语言
06-13
首先,我们需要理解SEH的工作原理。当程序运行时,操作系统会创建一个异常处理链,其中包含了一系列的结构化异常处理函数。如果程序遇到异常,操作系统会按照这个链来查找适当的处理函数。在反调试中,我们可以利用...
Windows 系统编程初探 (四)结构化异常处理之一:SEH的基本原理与进程相关异常处理
xlt123的专栏
04-18 2042
        上面的内容只是一些基础知识,虽然简单,但有必要了解一下。现在,我将正式开始我的第一个专题:结构化异常处理(SEH)。SEH 是 Windows 系统提供的功能,跟开发工具无关。值得一提的是,VC 将 SEH 进行了封装,也就是我们平常用到的 __try{}__except(){} 和 __try{}__finally{},我没有研究过它的实现方法,这里也不进行讨论,而我将要讲述的是
SEH 的机制的实现
xum2008的专栏
11-12 870
 struct EXCEPTION_REGISTRATION { EXCEPTION_REGISTRATION *prev; DWORD handle; };  EXCEPTION_DISPOSITION __cdecl _except_handler ( struct _EXCEPTION_RECORD *_ExceptionRecord, void * _E
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
攻击windows异常处理机制SEH
0pt1mus
05-23 1600
转载自个人博客0pt1mus 0x00 简介 本文主要有两个部分。第一部分介绍windows异常处理机制中的SEH,详细介绍SEH的工作原理。第二部分介绍如何通过栈溢出实现利用SEH来绕过GS。 0x01 SEH(异常处理结构体) SEH的全称是Structure Exception Handler,翻译为异常处理结构体,它是Windows异常处理机制所采用的的重要数据结构。每个SEH结构体包含两个DWORD指针:SEH链表指针和异常处理函数句柄,共八个字节。如下图: 对SEH的初步理解,我们要了解一下几
内存保护机制及绕过方案——通过覆盖SEH异常处理函数绕过/GS机制
weixin_30892763的博客
05-04 1001
通过SEH链绕过GS保护机制 ⑴. 原理分析: i.异常处理结构(SEH)处理流程如下: SEH是基于线程的,每一个线程都有一个独立的SEH处理结果,在线程信息块中的第一个结构指向线程的异常列表,Fs:[0]总是指向当前线程的TIB,其中0偏移的指向线程的异常链表,即ExceptionList是指向异常处理链表(EXCEPTION_REGISTRATION结构)的一...
覆盖SEH的溢出利用检测思路
爱.NET
08-21 342
覆盖SEH的溢出利用检测思路 BY kruglinski 看到安焦上的一篇《基于栈指纹检测缓冲区溢出的一点思路》,这是在ShellCode已经运行时在它的调用堆栈(被Hook的下级调用函数LoadLibrary)里进行检测,有些利用溢出覆盖SEH Handler,然后任程序运行,因为溢出破坏了堆或栈,肯定会出现异常,这时指向ShellCode的Handler被运行,我在想这一类的溢出利用,既...
SEHOP原理浅析
magictong的专栏
03-05 8572
SEHOP原理浅析   前言 SEHOP的全称是Structured Exception Handler Overwrite Protection(结构化异常处理覆盖保护),SEH攻击是指通过栈溢出或者其他漏洞,使用精心构造的数据覆盖结构化异常处理链表上面的某个节点或者多个节点,从而控制EIP(控制程序执行流程)。而SEHOP则是是微软针对这种攻击提出的一种安全防护方案。 微软最开始提供这
SEH链和展开操作
bingghost
01-28 3676
每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH链   当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH链,这些SEH链中指定了多个回调函数,除他们以外,系统中可能还会存
SEH 机制探索2 --- 构建 SEH
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 872
SEH 机制探索2 --- 构建 SEH 链 下面是异常处理程序的语法结构: __try  {     // 受保护的代码 } __except(exception filter) {     // 异常处理程序 } __try{} 里的代码是受保护的,编译器会为 __try{} 块构建 SEH 链,__except(){} 块是根据括号里的
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2298
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
A-PDFAlltoMP3的SEH漏洞利用与逆向分析
关于DarkCometRAT531的逆向分析部分,可能涉及恶意软件的深入剖析和防御策略,对于了解恶意软件行为和防护措施具有价值。AXMAN工具原理解析则可能涵盖了如何理解和使用一种用于攻击或防御的工具。 在编程解析部分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值