深入理解SEH

最新推荐文章于 2022-12-19 11:18:59 发布
最新推荐文章于 2022-12-19 11:18:59 发布
阅读量1.9k 收藏 6
点赞数
分类专栏: Windows操作系统 文章标签: SEH 操作系统内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/89971251
版权

KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH链最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchException到底做了什么。

在这里插入图片描述无奈没有源码,只好照搬这张看雪加密与解密的这张图了。可以看出其实KiUserDispatchException也只是一个框架,主要处理函数仍然是在RtlDispatchException。但我们先看一下KiUserDispatchException的处理流程。首先调用RtlDispatchException,检测能否被处理,若能被处理,则会调用NtContinue函数,不会再返回。若RtlDispatchException返回了false,则调用NtRaiseException,同时最后传进去false用于初始化将FirstChance赋值为0,这样就相当于第二次处理异常,同时该函数不会返回。如果第二次仍然不行,则会将该异常的flags值标记为EXECUTION_NONCONTINUABLE,然后结束分发。
最终不管是KernelMode还是UserMode最终又指向了RtlDispatchException。所以我们来看看RtlDispatchException的源码

//Exception Flags
#define EXCEPTION_NONCONTINUABLE 0x1    // Noncontinuable exception
#define EXCEPTION_UNWINDING 0x2         // Unwind is in progress
#define EXCEPTION_EXIT_UNWIND 0x4       // Exit unwind is in progress
#define EXCEPTION_STACK_INVALID 0x8     // Stack out of limits or unaligned
#define EXCEPTION_NESTED_CALL 0x10      // Nested exception handler call
#define EXCEPTION_TARGET_UNWIND 0x20    // Target unwind in progress
#define EXCEPTION_COLLIDED_UNWIND 0x40  // Collided exception handler call

//MmExecutionFlags on Win7
#define MEM_EXECUTE_OPTION_DISABLE 0x1 
#define MEM_EXECUTE_OPTION_ENABLE 0x2
#define MEM_EXECUTE_OPTION_DISABLE_THUNK_EMULATION 0x4
#define MEM_EXECUTE_OPTION_PERMANENT 0x8
#define MEM_EXECUTE_OPTION_EXECUTE_DISPATCH_ENABLE 0x10
#define MEM_EXECUTE_OPTION_IMAGE_DISPATCH_ENABLE 0x20
#define MEM_EXECUTE_OPTION_DISABLE_EXCEPTIONCHAIN_VALIDATION 0x40
#define MEM_EXECUTE_OPTION_VALID_FLAGS 0x7f

//NtGlobalFlag
#define FLG_ENABLE_CLOSE_EXCEPTIONS     0x00400000      // kernel mode only
#define FLG_ENABLE_EXCEPTION_LOGGING    0x00800000      // kernel mode only

//Part of ProcessInformationClass
#define ProcessExecuteFlags	34

typedef struct _DISPATCHER_CONTEXT {
	PEXCEPTION_REGISTRATION_RECORD RegistrationPointer;
} DISPATCHER_CONTEXT;

//
// Execute handler for exception function prototype.
//

EXCEPTION_DISPOSITION
	RtlpExecuteHandlerForException (
	IN PEXCEPTION_RECORD ExceptionRecord,
	IN PVOID EstablisherFrame,
	IN OUT PCONTEXT ContextRecord,
	IN OUT PVOID DispatcherContext,
	IN PEXCEPTION_ROUTINE ExceptionRoutine
	);

VOID
	RtlpGetStackLimits (
	OUT PULONG LowLimit,
	OUT PULONG HighLimit
	);

EXCEPTION_DISPOSITION
	RtlCallVectoredExceptionHandlers (
	IN PEXCEPTION_RECORD ExceptionRecord,
	IN OUT PCONTEXT ContextRecord
	);

EXCEPTION_DISPOSITION
	RtlCallVectoredContinueHandlers (
	IN PEXCEPTION_RECORD ExceptionRecord,
	IN OUT PCONTEXT ContextRecord
	);

PEXCEPTION_REGISTRATION_RECORD
	RtlpGetRegistrationHead (
	VOID
	);

BOOLEAN
	RtlIsValidHandler (
	IN PEXCEPTION_ROUTINE Handler,
	IN ULONG ProcessExecuteFlag
	);

BOOLEAN __stdcall RtlDispatchException(PEXCEPTION_RECORD pExcptRec, CONTEXT *pContext)
{
	BOOLEAN Completion; 
	PEXCEPTION_RECORD pExcptRec;
	EXCEPTION_REGISTRATION_RECORD *RegistrationPointerForCheck;
	EXCEPTION_REGISTRATION_RECORD *RegistrationPointer;
	EXCEPTION_REGISTRATION_RECORD *NestedRegistration;
	EXCEPTION_DISPOSITION Disposition; 
	EXCEPTION_RECORD ExceptionRecord1;
	DISPATCHER_CONTEXT DispatcherContext;
	ULONG ProcessExecuteOption;
	ULONG StackBase,StackLimit; 
	BOOLEAN IsSEHOPEnable;
	NTSTATUS status;

	Completion = FALSE;

	// 首先调用VEH异常处理例程,其返回值包括EXCEPTION_CONTINUE_EXECUTION (0xffffffff)和EXCEPTION_CONTINUE_SEARCH (0x0)两种情况
	// 这是从Windows XP开始加入的新的异常处理方式
	// 返回值不是EXCEPTION_CONTINUE_SEARCH,那么就结束异常分发过程
	if (RtlCallVectoredExceptionHandlers(pExcptRec, pContext)  !=  EXCEPTION_CONTINUE_SEARCH )
	{
		Completion = TRUE;
	}
	else
	{
		// 获取栈的内存范围
		RtlpGetStackLimits(&StackLimit, &StackBase);
		ProcessExecuteOption = 0;

		// 从fs:[0]获取SEH链的头节点 即mov eax, fs:[0]
		RegistrationPointerForCheck = RtlpGetRegistrationHead();

		// 默认假设SEHOP机制已经启用,这是一种对SEH链的安全性进行增强验证的机制,Structured Exception Handler Overwrite Protection,我们先不管
		IsSEHOPEnable = TRUE; 

		// 查询进程的ProcessExecuteFlags标志,决定是否进行SEHOP验证
		status = ZwQueryInformationProcess(NtCurrentProcess(), ProcessExecuteFlags, &ProcessExecuteOption, sizeof(ULONG), NULL) ;

		// 在查询失败,或者没有设置标志位时,进行SEHOP增强验证
		// 也就是说,只有在明确查询到禁用了SEHOP时才不会进行增强验证
		if ( NT_SUCCESS(status) 
			&& (ProcessExecuteOption & MEM_EXECUTE_OPTION_DISABLE_EXCEPTIONCHAIN_VALIDATION) )
		{
			// 若确实未开启SEHOP增强校验机制,设置此标志 此时 status == 0,
			IsSEHOPEnable = FALSE; 
		}
		else
		{
			// 否则,进行开始SEHOP验证 如果头结点是0xffffffff,表明已经没有注册的SEH,break
			if ( RegistrationPointerForCheck == -1 )
				break;

			//验证SEH链中各个结点的有效性并遍历至最后一个结点
			do
			{
				// 若发生以下情况,认为栈无效,此时不再执行基于栈的SEH处理
				    // 1.SEH节点不在栈中
				if ( (ULONG)RegistrationPointerForCheck < StackLimit 
					|| (ULONG)RegistrationPointerForCheck + 8 > StackBase
					// 2.SEH节点的位置没有按ULONG对齐
					|| (ULONG)RegistrationPointerForCheck & 3 
					// 3.Handler在栈中
					|| ((ULONG)RegistrationPointerForCheck->Handler < StackLimit || (ULONG)RegistrationPointerForCheck->Handler >= StackBase) )
				{
					pExcptRec->ExceptionFlags |= EXCEPTION_STACK_INVALID;
					goto DispatchExit;
				}
				// 取SEH链的下一个结点
				RegistrationPointerForCheck = RegistrationPointerForCheck->Next;
			}
			while ( RegistrationPointerForCheck != -1 );

			// 此时RegistrationPointerForCheck指向最后一个节点
			// 如果TEB->SameTebFlags中的RtlExceptionAttached位(第9位)被设置,但最后一个结点的Handler却不是预设的安全SEH,那么SEHOP校验不通过,不再执行任何SEHHandler
			if ((NtCurrentTeb()->SameTebFlags & 0x200) && RegistrationPointerForCheck->Handler != FinalExceptionHandler)
			{
				goto DispatchExit;
			}
		}
		
		// 从fs:[0]获取SEH链的头节点
		RegistrationPointer = RtlpGetRegistrationHead();
		NestedRegistration = NULL;

		// 遍历SEH链表执行Handler
		while ( TRUE )
		{
			if ( RegistrationPointer == -1 ) //-1表示SEH链的结束
				goto DispatchExit;

			// 若SEHOP机制未开启,则这里必须进行校验,反之则不需要,因为SEHOP机制已经验证过了
			if ( !IsSEHOPEnable )
			{
				if ( (ULONG)RegistrationPointer < StackLimit 
					|| (ULONG)RegistrationPointer + 8 > StackBase 
					|| (ULONG)RegistrationPointer & 3 
					|| ((ULONG)RegistrationPointer->Handler >= StackLimit && (ULONG)RegistrationPointer->Handler <= StackBase) )
				{
					pExcptRec->ExceptionFlags |= EXCEPTION_STACK_INVALID;
					goto DispatchExit;
				}
			}

			// 调用RtlIsValidHandler对Handler进行增强验证,也就是SafeSEH机制
			if (!RtlIsValidHandler(RegistrationPointer->Handler, ProcessExecuteOption))
			{
				pExcptRec->ExceptionFlags |= EXCEPTION_STACK_INVALID;
				goto DispatchExit;
			}

			// 执行SEHHandler
			Disposition = RtlpExecuteHandlerForException(pExcptRec, RegistrationPointer, pContext, &DispatcherContext, RegistrationPointer->Handler);
			if ( NestedRegistration == RegistrationPointer )
			{
				pExcptRec->ExceptionFlags &=  (~EXCEPTION_NESTED_CALL);
				NestedRegistration = NULL;
			}

			// 检查SEHHandler的执行结果
			switch(Disposition)
			{
			case ExceptionContinueExecution :
                //如果返回ExceptionContinueExecution,表示处理程序认为可以继续执行,但是发生异常时候的ERR的flags里为EXCEPTION_NONCONTINUABLE,则发生冲突,引发一个不可以继续的异常。
				if ((ExceptionRecord->ExceptionFlags &
					EXCEPTION_NONCONTINUABLE) != 0) {
						ExceptionRecord1.ExceptionCode = STATUS_NONCONTINUABLE_EXCEPTION;
						ExceptionRecord1.ExceptionFlags = EXCEPTION_NONCONTINUABLE;
						ExceptionRecord1.ExceptionRecord = ExceptionRecord;
						ExceptionRecord1.NumberParameters = 0;
						RtlRaiseException(&ExceptionRecord1);

				} else {//Completion设置为true,表明完成了处理
					Completion = TRUE;
					goto DispatchExit;
				}

			case ExceptionContinueSearch ://若ERR的异常标志位表明栈无效,则直接退出
				if (ExceptionRecord->ExceptionFlags & EXCEPTION_STACK_INVALID)
					goto DispatchExit;

				break;

			case ExceptionNestedException :
				ExceptionRecord->ExceptionFlags |= EXCEPTION_NESTED_CALL;
				if (DispatcherContext.RegistrationPointer > NestedRegistration) {
					NestedRegistration = DispatcherContext.RegistrationPointer;
				}

				break;

			default ://若以上选项都不是,表明返回的值是个错误的值,引发一个STATUS_INVALID_DISPOSITION无效选项的异常,并且flag设置为不可继续执行标记
				ExceptionRecord1.ExceptionCode = STATUS_INVALID_DISPOSITION;
				ExceptionRecord1.ExceptionFlags = EXCEPTION_NONCONTINUABLE;
				ExceptionRecord1.ExceptionRecord = ExceptionRecord;
				ExceptionRecord1.NumberParameters = 0;
				RtlRaiseException(&ExceptionRecord1);
				break;
			}

			// 取SEH链的下一个结点
			RegistrationPointer = RegistrationPointer->Next;           // Next
		}
	}

DispatchExit:

	// 调用VEH的ContinueHandler
	// 只要RtlDispatchException函数正常返回,那么ContinueHandler总会在SEH执行完毕后被调用
	RtlCallVectoredContinueHandlers(pExcptRec, pContext);
	return Completion;
}

整理一下思路,Completion作为返回值被送回到KiUserDispatchException,Completion只会有两种控制流会被设置为true。

  • 调用RtlCallVectoredExceptionHandlers,若处理得到的返回值不是EXCEPTION_CONTINUE_SEARCH,即表明找到了对应的处理函数,则VEH处理了该异常
  • 在SEHOP没问题的前提下,遍历SEH链表,当RtlpExecuteHandlerForException的返回值dispositionExceptionContinueExecution(继续执行)并且与当初引发异常时的ExceptionFlags不冲突,那么则会将Completion设置为true,表明成功处理了异常。

接下来再理一遍RtlDispatchException的过程,加深印象。
首先分发给RtlCallVectoredExceptionHandlers处理,若成功处理,则结束成功返回。
不然就会进行SEH的遍历。因为SEH是基于栈的,所以SEHOP(结构化Overwrite Protextion)就应运而生,为了防止利用者篡改SEH链而进行的设置,从xp后开始加上了这个设置。默认是SEHOP是开启的。SEHOP的标志位可由ZwQueryInformationProcess获得,通过检验MEM_EXECUTE_OPTION_DISABLE_EXCEPTIONCHAIN_VALIDATION标志位,确认确实没开启SEHOP选项,那么就不需要SEHOP验证。否则进入验证的循环。通过遍历SEH链,对每一个结点都要进行check。check主要进行以下的操作

  • 检验该ERR处于的地址是否在栈中,栈的base和limit在初期通过fs的TIB获取,不记得的再找下TIB的数据结构看看。注意此时的limit在低地址,base在高地址,因为栈是向低地址增长的。
  • 并且栈是按4字节对齐,所以对齐操作也会check。
  • 并且还要检测handler的地址,handler的地址应该位于代码段,而不是布置到栈上,若布置到栈上,很有可能就是利用者将数据放到栈上了。
  • 对于最后一个结点也会做check,主要是判断TEB->SameTebFlags 和 FinalExceptionFilter是否一致,确保最后一个结点的handler未被篡改

若在上述过程中,有任一结点不满足要求,都会不在进行基于栈的SEH操作,直接返回。

到这里,开了SEHOP的check就完成了。接着会再次遍历该SEH链,对于未开启SEHOP的程序,RtlDispatchException仍会先检测结点的合法性RtlIsValidHandler会对每一个结点强制进行增强验证,通过后会调用RtlpExecuteHandlerForException,传递参数并且调用注册的SEH函数,其返回值作为判别的标准。对于返回值为ExceptionContinueExecution的,再检测完确实不是一个不可继续执行的异常后,就表明成功处理了,否则会引发一个不可执行的异常。对于返回值是ExceptionContinueSearch,则会继续遍历下一个结点。若返回值是一个异常数值,则会调用一个STATUS_INVALID_DISPOSITION异常。最终函数返回前会调用RtlCallVectoredContinueHandlers,但暂时还不清楚这样的目的。

_Nigel_
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入解析结构化异常处理(SEH中文).docx
07-17
了解SEH的底层工作原理有助于优化程序的错误处理,特别是在处理系统级错误或低级别的资源管理时。在编写系统级或底层代码时,理解SEH可以帮助编写更健壮的程序,尤其是在处理可能导致程序崩溃的异常情况时。因此,...
【逆向工程核心原理:SEH
qq_42363151的博客
05-21 1019
reverse
(笔记)逆向工程核心原理——SEH
qq_30101409的博客
12-19 408
SEH异常机制学习记录
SEH的介绍及实战
For Geek
05-08 9687
根据我们上节的异常讲解中,我们说过了SEH(Structured Exception Handler)是在无调试器接手的情况下,系统会遍历SE链,然后寻找相应的SEH函数来处理异常。 首先稍微复习下我们的TEB kd> dt _teb ntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : ...
Win64 驱动内核编程-3.内核里使用内存
墨鱼菜鸡
12-18 111
内核里使用内存 内存使用,无非就是申请、复制、设置、释放。在C语言里,它们对应的函数是:malloc、memcpy、memset、free;在内核编程里,他们分别对应ExAllocatePool、RtlMoveMemory、 RtlFillMemory、ExFreePool。它们的原型分别是: ...
SEH驱动中的应用
jANxIN的专栏
10-08 1140
需要注意一点的事情是:SEH虽然在系统中有利用,但是编程中的SEH由MS提供的编译器提供支持,因此在驱动中也是可以使用SEH的。虽然说不能处理异常HANDLE访问方面的问题(MJ0011语,未经本人测试),但是在很多情况下,SEH还是可以使用以加强驱动的稳定性和健壮性。和VC++中的编程一样,在驱动中可以使用的SEH处理结构包括try-catch和try-finally结构。__try
SEH异常处理.rar
04-05
通过这个压缩包中的易语言源码,你可以深入学习如何在易语言环境中实现SEH异常处理,理解其原理,并应用到实际项目中,提高代码的稳定性和可靠性。同时,对于理解Windows底层的异常处理机制,也有很大的帮助。
7_3_SEH_heap.rar_SEH
09-24
**SEH(结构化异常处理)与堆溢出利用详解** ...通过"7_3_SEH_heap.rar"中的代码和实验,初学者可以深入理解SEH堆溢出的工作原理,并掌握利用技巧。同时,这也提醒开发者在编写代码时要重视安全性,避免引入此类漏洞。
Windows_SEH.zip_SEH
09-23
本文将深入探讨SEH的工作原理、其在Windows程序设计中的应用,以及如何有效地利用SEH来提高程序的健壮性。 ### 1. 结构化异常处理基础 #### 1.1 异常的概念 异常是程序执行过程中遇到的非正常情况,它可以是硬件...
SEH技术实现APIHook钩子
03-28
本篇文章将深入探讨如何利用SEH技术来实现API Hook。 首先,我们需要理解SEH的基本概念。在Windows操作系统中,SEH是一种用于处理程序运行时异常的机制。当程序中发生异常时,系统会按照预先定义的异常处理链来寻找...
Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行
lif12345的专栏
09-27 1647
32位系统上当你的shellcode有使用 __try __except 进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常 应该是HookRtlIsValidHandler,可是微软没有导出这个接口 于是我们逆向看看RtlIsValidHandler 发现它会判断ZwQueryInformationProcess的返回值,...
软件漏洞分析入门(五)
SimoSimoSimo的博客
07-12 1167
异常处理机制简单来说,就是当异常发生的时候,系统先抛出异常,程序先检查一遍,看看自己有没有能处理这种异常的函数,能处理固然好,如果不能处理的话就继续传给系统,即默认异常处理,随机终止进程SEH,Structure Exception Handler,异常处理结构体,是一种 Windows 在异常处理中用到的一种数据结构。SEH 包含一个 SEH 链表指针以及应该异常处理函数句柄,栈中的多个 SEH 通过链表指针在栈内由栈顶向栈底串成单向链表,位于链表最顶端的 SEH 通过 TEB(线程环境块)0 字节偏移处
Win10 X64 HOOK KiUserExceptionDispatcher
瞎捣鼓
01-31 2105
Win10 X64 HOOK KiUserExceptionDispatcher HOOK.ASM extrn NewKiUserExceptionDispatcher : proc extrn OrgKiUserExceptionDispatcher : proc extrn OldKiUserExceptionDispatcher : proc .data .code ;hook public MyKiUserExceptionDispatcher MyKiUserExceptionDi
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2273
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
SEH链和展开操作
bingghost
01-28 3623
每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH链   当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH链,这些SEH链中指定了多个回调函数,除他们以外,系统中可能还会存
DEP原理及关闭
热门推荐
dongyewolong的专栏
11-14 2万+
一、原理   DEP - 数据执行保护的缩写,Data Execution Prevention。 他是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。其基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。如图所示           DEP 的主要作用是阻
[原创]windows-SEH详解
whl0071的专栏
02-25 3904
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到) 1.SEH SEH是windows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。 2.OS异常处理的办法 2.1正常运行时候的异常处理方法 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...
栈溢出笔记1.10 基于SEH的栈溢出
hustd10的博客
04-16 8757
上节中简单地讲述了SEH的原理及逻辑结构。本节,要继续讲述SEH的物理结构及如何利用它进行栈溢出。先来看SEH的物理结构。先回想上节中的图51,我们在程序停在gets函数输入的时候查看SEH链,看到了一大堆异常处理器,而当我们把断点设置在gets函数下一条语句的时候,其中很多没有了,这给我们一个直观的感觉:SEH链保存在栈上。下面,我们就来看看栈上的SEH链。我们使用的是example_10,即添加
易语言seh veh
最新发布
11-27
通过使用可视化异常处理,程序员可以更加直观地理解和处理异常情况。VE提供了图形化的界面,使得程序员可以通过拖拽控件的方式来搭建异常处理的逻辑,而不需要编写复杂的代码。同时,VE也提供了一些常见的异常处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值