内核学习——VEH / SEH

已于 2022-03-29 16:01:01 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: Windows 内核与系统机制 文章标签: VEH SEH
于 2019-08-29 12:41:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1uTruth/article/details/100120012
版权

VEH全局链表:与线程无关

全局链表结构(每个是个EXCEOTION_REGISTRATION_RECORD)
在这里插入图片描述构造除零异常

__asm
{
	xor edx,edx
	xor ecx,ecx
	mov eax.0x10
	idiv ecx //edx:eax 除以 ecx
}

用一个函数将异常处理函数挂入VEH,异常处理函数如下

LONG NTAPI VecExcepHandler( PEXCEPTION_POINTERS pExcepInfo )
{
	::MessageBoxA(NULL,"VEH异常处理函数执行了","VEH异常",MB_OK);
	//异常过滤
    if( pExcepInfo->ExceptionRecord->ExceptionCode == 0xC0000094)
    {	//异常处理
		pExcepInfo->ContextRecord->Eip = pExcepInfo->ContextRecord->Eip+2;
		//pExcepInfo->ContextRecord->Ecx = 1;
		return 已处理
	}
	return 未处理
}

SEH局部链表:在堆栈中

windows原始结构

typedef struct _EXCEOTION_REGISTRATION_RECORD{
		struct _EXCEPTION_REGISTRATION_RECORD *Next;
		PEXCEPTION_ROUTINE Handler;
}EXCEOTION_REGISTRATION_RECORD;

编译器拓展结构,扩展了3个成员是因为一个函数里无论有多少try catch都只挂一个record

struct _EXCEOTION_REGISTRATION_RECORD{
		struct _EXCEPTION_REGISTRATION *prev;
		void (*handler)(PEXCEPTION_RECORD,
			PEXCEPTION_REGISTRATION,
			PCONTEXT,PEXCEPTION_RECORD);
		struct scopetable_entry *scopetable;
		int reylevel;
		int _ebp;
};

自己实现将异常处理函数挂入SEH

DWORD temp;
MyException myException;//自己定义的EXCEOTION_REGISTRATION_RECORD
//将原FS:[0]存入temp
//将FS:[0]指向新的EXCEOTION_REGISTRATION_RECORD
//挂入链表
__asm{
		mov eax,FS:[0]
		mov temp,eax
		lea ecx,myException
		mov FS:[0],ecx
}
myException.prev = (MyException*)temp;
myException.handle = (DWORD)&MyException_handler;

//创造异常
__asm
{
	xor edx,edx
	xor ecx,ecx
	mov eax.0x10
	idiv ecx //edx:eax 除以 ecx
}

//摘除异常
__asm{
		mov eax,temp
		mov FS:[0],eax
}

编译器实现将异常处理函数挂入SEH
过滤表达式有 常量 (1,0)/ 表达式(exceptioncode=0x…) / 函数(GetExceptionInfo()里有context等)
过滤表达式为函数,可能在函数里涉及加密,异常处理程序也会涉及

try					//挂入链表(对应上面的代码)
{

}
except(过滤表达式)	//异常过滤
{
	异常处理程序		//异常处理
}

多个try & scopetable,trylevel分析

Example

try{
}
except(){
}
try{
	try{
	}
	except(){
	}
}
except(){
}

●每个使用try的函数,不论其内部嵌套或反复使用多少个try,都只将一个EXCEOTION_REGISTRATION_RECORD挂入当前线程的SEH(对于递归函数,每一次调用都会创建一个EXCEOTION_REGISTRATION_RECORD并挂入),以下是初始化了扩展的record

push ebp //ebp
mov ebp,esp //提升堆栈
push 0xFF //-1,trylevel
push scopetable地址
push 异常处理函数地址
mov eax,FS:[0]
push eax  //prev
mov fs:[0] ,esp //指向新结构体,即挂入链表

●对于scopetable,有几个try就有几个成员

struct scopetable_entry
{
	DWORD previousTryLevel	//上一个try{}结构编号
	PDWRD lpfnFilter		//过滤函数的起始地址,except()
	PDWRD lpgnHandler		//异常处理程序的地址,except里的
}

scopetable[0].previousTryLevel = -1 //因为前面没try
scopetable[0].lpfnFilter = 过滤函数1 //异常过滤
scopetable[0].lpgnHandler = 异常处理函数1 //异常处理
scopetable[1].previousTryLevel = -1 
scopetable[1].lpfnFilter = 过滤函数2
scopetable[1].lpgnHandler = 异常处理函数2
scopetable[2].previousTryLevel = 1	//嵌套try
scopetable[2].lpfnFilter = 过滤函数3
scopetable[2].lpgnHandler = 异常处理函数3
如果嵌套里面再嵌套一个level就是2

Example

try{
	try{
	}
	except(){
	}
}
except(){
}
try{
	try{
	}
	except(){
	}
}
except(){
}

●trylevel用于标识当前代码执行在哪个try里,是随时变化的,进入try就改变值

例子的变化过程如下:
-1(try 外),0(第一个try),1(第2个),0(恢复,在第一个try),-1(退出了第一个try)
2(第三个),3(第四个),2,-1(-1就是不在任何try里)

如果是自己throw的知识KiDispatchException前不一样except_handler3在SEH里
在这里插入图片描述

try {
可能出错的代码
}
finally{
一定要执行的代码
}
finally用在try里没发生异常且提前退出,finally的PDWRD lpfnFilter为空,局部展开(一个函数的名称)调用finally
若出现异常,一层一层的往外找except处理,然后finally,全局展开这个函数走的
在这里插入图片描述

q1uTruth
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于VEH的无痕HOOK
小龙在线
08-09 291
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。
二、C++反作弊对抗实战 (进阶篇 —— 9.利用硬件断点 + 结构化异常 SEH HOOK)
Koma的主页
03-04 1279
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个
异常与调试之SEH、UEH、VEH、VCH以及SEH的区别总结——简单好理解
TCP_321的博客
12-08 6480
1.VEH (向量异常) // VEH: 向量化异常处理的一种,被保存在一个全局的链表中,进程内的所有线程都可 // 以使用这个函数,是第一个处理异常的函数。 异常处理函数: LONG NTAPI AddVectoredExceptionHandler( _In_UlON First, 异常处理函数被调用的顺序 _In_PVECTORED_EXECUTE_HANDLER Handler 异常处理回调函数 ) AddVectoredExceptionHandler(TRUE...
VEHSEH
鬼手的博客
02-16 4107
文章目录VEHKiUserExceptionDispatcher函数分析代码实现添加VEH异常处理函数VEH异常的处理流程SEHExceptionListRtlDispatchException函数的执行流程代码实现添加SEH异常处理函数SEH异常的处理流程 VEH 当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接处理,而是修正3环EIP为KiUs...
Windows异常学习笔记(三)—— VEH&SEH
qq_41988448的博客
01-11 1459
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
白话windows之四 异常处理机制(VEHSEH、TopLevelEH...)
weixin_30760895的博客
08-26 521
原文地址:http://bbs.pediy.com/showthread.php?t=173853 今天是我侄子的4岁生日,特此更新一篇,祝我小侄子在幼儿园多泡MM我们都知道SEH异常处理机制,那VEH、TopLevelEH呢?他们执行的先后顺序是怎样的呢?当这些机制都不使用的情况下,会发生什么情况呢?异常处理器是怎么工作的?如果你对此感兴趣,那我们就一起来扒开异常处理机制的面纱吧术语:SEH:...
Windows内核读书笔记——SEH结构化异常处理
weixin_30656145的博客
04-11 137
SEH是对windows系统中的异常分发和处理机制的总称,其实现分布在很多不同的模块中。 SEH提供了终结处理和异常处理两种功能。 终结处理保证终结处理块中的程序一定会被执行 1 __try 2 { 3 //要保护的代码 4 } 5 __finally 6 { 7 //终结处理块 8 } 退出保护块的方式:正常结束和非正常结束两种 1.正常结束 正常执行并顺序进入...
异常与调试之SEH、UEH、VEH、VCH以及SEH原理
qq_28518147的博客
01-02 2456
一、SEH 1、终止处理的SEH #include <iostream> #include <windows.h> // 终结处理器: 由 __try 、 __finally 和 __leave 构成。 // 能够保证无论 __try 中的指令以何种方式退出,都必然会 // 执行 __finally 块。【不会处理异常,只做清理操作】 // SEH 的使用范围是线程...
c# VEH 捕获 未知异常 自己安装SEH
08-22
代码类 全封装好了 绝对好用 写到日志中 加了LOCK锁。
SEH异常之编译器原理探究
hongduilanjun的博客
09-14 735
这里调用,然后调用入口程序相当于这里才是一个进程开始执行的地方这里有一个call调用,跟进去看看发现有修改fs:[0]的操作,这里就相当于编译器为我们注册了一个异常处理函数这里到里面的里面看一下,这里有一个注册SEH异常处理函数的操作//{int i = 1;return 0;return 0;可以发现线程也是从开始的然后跟进调用可以发现还是注册了一个异常处理函数还是去IDA里面看函数,发现也注册了一个SEH异常的函数。
二、C++反作弊对抗实战 (进阶篇 —— 10.利用硬件断点 + 结构化异常VEH HOOK与对抗方法)
Koma的主页
03-04 1236
本章节详细讲述了VEH HOOK与检测、对抗的方法,本文对应的代码在2.09文件夹中。上面这些都只是一些基础的对抗方法,对抗与绕过都是一次思维上的跳跃,欢迎大家参与讨论并留言!
[易语言源码]-进程全局VEH
05-06
[易语言源码]-进程全局VEH
汇编语言(六)—— 位操作类指令
为了学习
03-07 2772
通用数据处理指令 数据传送类指令 数据传送:把数据从一个位置传送到另一个位置。是计算机中最基本的操作,也是程序设计中最常使用的指令,除标志寄存器传送指令外,均不影响状态标志。 指令:MOV XCHG PUSH POP LEA MOV指令 提供方便灵活的通用数据传送(拷贝传送)操作,把一个字节、字或双字的操作数从源位置传送至目的位置。 指令:mov dest, src ; 把源操作数拷贝送往目的操作...
异常(上)概述,捕捉异常,try-catch语句的详细使用
weixin_74141222的博客
08-04 2456
该文介绍了Java异常的概述,运行代码时,异常的捕捉,及其使用 try-catch语句的处理。Java自带自动捕捉异常,但try-catch语句可以让我们更加便利地应对代码中的问题。以上就是对异常的概述,捕捉异常,try-catch-finally语句的解读。如果有什么疑问或者补充或纠错的内容,欢迎在评论区中留言,博主会及时做出反馈的。
逆向工程实验PRE0(自用,记录)
weixin_48392428的博客
06-27 446
逆向工程实验pre0question 1question 2 question 1 解释每一条汇编语言的含义,这几条汇编合在一起的作用是什么? << 恶意代码分析实战 >> 那本书有一章是讲汇编的,可以看看。 xor edx,edx mov eax, 51EB851Eh imul ecx shr edx, 5 mov eax, edx 回答: xor edx,edx:将 edx 的值与 edx 的值异或,即清零; mov eax, 51EB851Eh:将值 51EB851Eh 复
简单一文带你了解链表结构--附完整代码
gentle_zou的博客
09-09 1262
非常简单好理解的链表教程
4.VEH(向量化异常处理)
My classmates
10-30 6911
当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 (ntdll.dll) KiUserExceptionDispatcher函数分析 调用 RtIDis...
VEH中的陷阱
Viper的专栏
08-31 9379
最初发在QQ空间,转到这:http://user.qzone.qq.com/31731705/blog/1314257137 前面从理论(VEH中的陷阱(上))和实际(VEH中的陷阱(下))研究了VEH中存在的问题,那么,VEH的使用过程中有哪些注意事项? 1. 防御性编程
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7618
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
易语言seh veh
最新发布
11-27
易语言SEH VE是一种用于处理异常的技术。SEH代表Structured Exception Handling(结构化异常处理),VE代表Visual Exception(可视化异常)。 结构化异常处理是一种编程中用于捕获和处理异常情况的机制。当程序出现异常时,SEH可以捕获并处理异常,从而避免程序崩溃。SEH提供了一种结构化的方式来处理异常,使得程序员可以按照自己的需求来处理异常情况,包括捕获异常、处理异常以及抛出异常。 易语言(SEH)提供了可视化的异常处理机制(VE)。通过使用可视化异常处理,程序员可以更加直观地理解和处理异常情况。VE提供了图形化的界面,使得程序员可以通过拖拽控件的方式来搭建异常处理的逻辑,而不需要编写复杂的代码。同时,VE也提供了一些常见的异常处理功能,如日志记录、错误提示等,方便程序员进行异常处理。 易语言SEH VE的使用可以提高程序的稳定性和可靠性。通过合理地使用SEH VE,程序可以更好地应对各种异常情况,并及时采取相应的措施,从而避免程序崩溃或出现严重错误。SEH VE的可视化特性也方便了非专业程序员对异常进行处理,降低了编程难度。 总而言之,易语言SEH VE是一种用于处理异常的技术,通过结构化的方式和可视化的界面,提供了一种方便、直观的异常处理机制,提高了程序的稳定性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

q1uTruth

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值