Windows异常学习笔记(二)—— 内核异常处理流程&用户异常的分发

已于 2022-03-28 10:05:03 修改
阅读量1.7k 收藏 10
点赞数 2
分类专栏: x86内核 文章标签: windows 内核异常 用户异常
于 2021-01-11 14:12:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/105135254
版权

Windows异常学习笔记(二)—— 内核异常处理流程&用户异常分发

用户层与内核层异常

描述

  1. 异常可以发生在用户空间,也可以发生在内核空间
  2. 无论是CPU异常还是模拟异常,是用户层异常还是内核异常,都要通过 KiDispatchException 函数进行分发,理解这个函数是学好异常的关键

内核异常

分析 KiDispatchException

声明:

VOID KiDispatchException(
	ExceptionRecord,
	ExceptionFrame,
	TrapFrame,
	PreviousMode,
	FirstChance);

处理逻辑

  1. 调用 _KeContextFromKframes,由于操作系统不知道分发的异常到底是3环的异常还是0环的异常,如果是3环的异常,进0环前的环境会被备份到Trap_Frame中,如果要在中途回到3环的话,就需要将 Trap_frame 备份到 context,为返回3环做准备
    在这里插入图片描述
  2. 判断先前模式,0是内核调用,1是用户层调用,此时能够知道要分发的异常来自哪里。
  3. 是否是第一次调用
  4. 是否有内核调试器
    在这里插入图片描述
  5. 如果没有或者内核调试器不处理,调用RtlDispatchException,寻找异常处理函数
    在这里插入图片描述
  6. 如果RtlDispatchException返回FALSE,也就是0
  7. 再次判断是否有内核调试器,有就调用,没有会直接蓝屏
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

分析 RtlDispatchException

作用

  1. 遍历异常链表,调用异常处理函数,如果异常被正确处理了,该函数返回
  2. 如果当前异常处理函数不能处理该异常,那么调用下一个,以此类推
  3. 如果到最好也没有人处理这个异常,返回0

反汇编
在这里插入图片描述
在这里插入图片描述
可以发现,RtlDispatchException 调用了 RtlpGetRegistrationHead,RtlpGetRegistrationHead的唯一作用就是获取fs寄存器的值给eax
当程序位于0环是,FS寄存器指向KPCR,而KPCR的第一个成员又指向_EXCEPTION_REGISTRATION_RECORD这样一个结构体

_EXCEPTION_REGISTRATION_RECORD

声明

typedef struct _EXCEPTION_REGISTRATION_RECORD {
	struct _EXCEPTION_REGISTRATION_RECORD *Next;
	PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;

描述

  1. _EXCEPTION_REGISTRATION_RECORD位于当前线程的堆栈中
  2. Next指向下一个结构体,Handler指向异常处理函数,是一个链表结构
  3. 当调用RtlDispatchException时,按顺序执行异常处理函数,若其中一个异常处理函数返回结果为真,就不再继续向下执行
  4. 若执行完所有异常处理函数后,异常仍然没有被处理,那么就返回FALSE
    在这里插入图片描述

用户异常的分发

描述

  1. 异常如果发生在内核层,处理起来比较简单,因为异常处理函数也在0环,不用切换堆栈,但是如果异常发生在3环,就意味着必须要切换堆栈,回到3环执行处理函数

  2. 切换堆栈的处理方式与用户APC的执行过程几乎是一样的,惟一的区别就是执行用户APC时返回3环后执行的函数是KiUserApcDispatcher,而异常处理时返回3环后执行的函数是KiUserExceptionDispatcher

  3. 理解用户APC的执行过程是理解3环异常处理的关键

用户异常

描述:当异常发生时,无论是CPU异常还是模拟异常,最终在0环都要通过一个函数进行分发处理,这个函数就是KiDispatchException

VOID KiDispatchException(
	ExceptionRecord,
	ExceptionFrame,
	TrapFrame,
	PreviousMode,
	FirstChance);

注意:需先掌握用户APC执行过程

分析 KiDispatchException

  1. Trap_frame被分到context为返回3环做准备,因为目前不确定是从0环进来还是从3环进来
    在这里插入图片描述
  2. 判断先前模式,0是内核调用,1是用户层调用
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述3. 从loc_42590B向下分析,是在为TRAP_FRAME结构体赋值,准备结束
    在这里插入图片描述在这里插入图片描述

总结:用户异常处理流程

  1. _KeContextFromKframes将Trap_frame被分到context为返回3环做准备
  2. 判断席安全模式,0是内核调用,1是用户层调用
  3. 是否都是第一次机会
  4. 是否有内核调试器
  5. 发送给3环调试
  6. 如果3环调试器没有处理这个异常,修正EIP为KiUserExceptionDispatcher
  7. KiUserExceptionDispatcher函数执行结束:CPU异常与模拟异常返回地点不同
    CPU异常:
	CPU检测到异常
	→查IDT执行处理函数
	→CommonDispatchException
	→KiDispatchException通过IRETD返回3环
模拟异常:
	CxxThrowException
	→RaiseException
	→RtlRaiseException
	→NT!NtRaiseException
	→NT!KiRaiseException
	→KiDispatchException通过系统调用返回3环
lzyddf
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python学习笔记(十)——–Python异常捕获与处理及自定义异常
01-21
与在Java中一样的,Python中的异常也是一个对象,当程序发生异常时,程序会抛出响应的异常对象,我们需要去捕获这个异常并解决他,防止异常导致程序停止。 这里是一段防爬虫文本,读者请忽略。本文最先由Baldwin_...
python学习笔记(十五)异常处理
01-20
python学习笔记(十五)异常处理 文章目录相关概念异常处理异常处理完整异常结构手动抛出异常异常嵌套自定义异常类 相关概念 错误:程序运行之前的语法问题。 如:关键字、缩进对齐、符号不成对等 异常:程序运行...
用户层和内核异常的处理流程
鬼手的博客
02-16 1718
文章目录内核异常的处理流程用户异常内核异常KiDispatchException函数详解RtlDispatchException函数的执行流程用户异常的处理流程用户异常的处理流程 内核异常的处理流程 之前已经了解过异常处理机制的执行流程异常记录 异常分发 异常的处理。这次我们学习一下内核异常分发与处理。 用户异常内核异常 异常可以发生在用户空间,也可以发生在内核空间。无论是C...
Windows异常学习笔记(三)—— VEH&SEH
qq_41988448的博客
01-11 1424
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
Windows软件调试学习笔记(五)—— 软件断点&内存断点
qq_41988448的博客
08-05 1959
软件调试学习笔记(五)—— 软件断点调试的本质软件断点分析INT 3执行流程 调试的本质 描述: 1)调试的本质是触发异常与调试器接管异常的过程。 2)不论是软件断点,硬件断点还是INT 3断点,本质都是触发异常。 软件断点 当使用调试器在任意代码位置设置断点时,本质上是将当前代码位置的字节码改为0xCC,对应的汇编指令为INT 3。 调试器为了界面的美观,不会直接在反汇编界面将修改后的数据显示出来。 可以使用WinHex查看内存数据进行验证。 软件断点执行流程: 被调试进程: 1)CPU检测到INT
【信息安全案例】——身份与访问安全(学习笔记
HinsCoder的博客
04-26 1448
一位用户对计算机信息资源的访问活动中,首先必须拥有身份标识,通过该标识鉴别该用户的身份,进一步地,用户还应当具有执行所请求动作的必要权限,系统会验证并控制其能否执行对资源试图完成的操作,还有,用户在整个访问过程中的活动还应当被记录以确保可审查。为了确保敏感信息资源的机密性、完整性等安全属性,可以采取的加密、数字签名等安全措施。接下来将围绕数据资源访问过程中的身份认证和访问控制两个关键安全环节展开介绍。
Clickhouse学习笔记(10)—— 查询优化
WHY的博客
11-12 2035
本文介绍了clickhouse的查询优化相关内容
Windows消息机制学习笔记(一)—— 消息队列
qq_41988448的博客
01-19 747
Windows消息机制学习笔记(一)—— 消息队列前言基本概念实验一:使用代码画出最简单窗口第一步:编译并运行以下代码第步:查看运行结果第三步:使用其它窗口对其进行覆盖,观察效果 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 、海东老师牛逼! 基本概念 接触过编程的人,或多或少用到过消息机制,但大多数人(包括我自己)只是知道相关API的基本用法,却不知道它是如何实现的 从本章起,我们将带着以下几个问题一起来学习消息机制: 什么是窗口句柄?在哪里?有什么用?
Vitis开发一——FPGA学习笔记<8>
qq_32971095的博客
09-25 2491
在MPSOC开发板上搭建MPSOC嵌入式最小系统
【网络安全技术】——恶意代码与防范(学习笔记
最新发布
HinsCoder的博客
04-12 2067
由于计算机网络所固有的结构松散、系统开放、主机和终端具有多样性等特点,致使网络易受病毒、黑客、恶意软件和其他不良行为的破坏或影响。针对这些安全隐患,应该对计算机网络进行全方位的安全防范,以保障网络系统的正常运行,其中恶意代码的防范是最为普遍和有效的一种安全措施。本章所提到的恶意代码是指人为编制或设置的、对网络或系统安全存在威胁或潜在威胁的计算机代码,主要包括计算机病毒、特洛伊木马、计算机蠕虫、后门、间谍软件等。
windows驱动编程学习笔记——(
知了112的专栏
01-30 527
一,基本数据结构: 点击打开链接 ,DriverEntry()函数 点击打开链接 函数DriverEntry是每个驱动程序中必须的。如同Win32应用程序里的WinMain。DriverEntry的第一个参数就是一个DRIVER_OBJECT的指针。这个DRIVER_OBJECT结构就对应当前编写的驱动程序。其内存是Windows系统已经分配的。 第个参数RegistryP
Python3.4学习笔记之类型判断,异常处理,终止程序操作小结
01-20
在Python编程中,类型判断、异常处理和程序终止是三个重要的概念,对于编写稳定可靠的代码至关重要。在Python3.4中,这些概念同样适用。以下是对这些知识点的详细讲解: **类型判断**: 在Python中,我们可以使用`...
Python中的异常处理学习笔记
01-20
Python 是面向对象的语言,所以程序抛出的异常也是类。 常见的异常类 1.NameError:尝试访问一个没有申明的变量 2.ZeroDivisionError:除数为 0 3.SyntaxError:语法错误 4.IndexError:索引超出序列范围 5.KeyError...
Python中的异常处理相关语句基础学习笔记
12-23
异常的处理发生在第阶段,异常引发后,可以调用很多不同的操作,可以是忽略错误,或是记录错误但不采取任何措施,采取补救措施后终止程序,或是江青问题的影响后设法继续执行程序  类似Python这样支持引发和...
Windows系统调用学习笔记(一)—— API函数调用过程
qq_41988448的博客
10-29 6632
Windows系统调用学习笔记(一)—— API函数的调用过程前言Windows API实验:分析ReadProcessMemory第一步:定位函数第步:开始分析 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 、海东老师牛逼! Windows API 描述: Application Programming Interface,简称 API 函数。...
Windows软件调试学习笔记(六)—— 硬件断点
qq_41988448的博客
08-10 4132
软件调试学习笔记(五)—— 硬件断点硬件断点设置硬件断点触发硬件断点处理硬件断点 硬件断点 描述: 与软件断点与内存断点不同,硬件断点不依赖被调试程序,而是依赖于CPU中的调试寄存器。 调试寄存器有7个,分别为Dr0~Dr7。 用户最多能够设置4个硬件断点,这是由于只有Dr0~Dr3用于存储线性地址。 其中,Dr4和Dr5是保留的。 思考:假如在Dr0寄存器中写入线性地址,是否所有线程都会受影响? 答案:不对,每个线程都拥有一份独立的寄存器,切换线程时,寄存器的值也会被切换。 设置硬件断点 1)Dr0
Windows保护模式学习笔记(一)—— 段寄存器&GDT表
qq_41988448的博客
10-16 3986
保护模式学习笔记(一)前言保护模式参考书籍:段寄存器段寄存器的结构段寄存器的读写段寄存器的属性探测Attribute:探测Base:探测Limit:GDT表与LDT表GDT表段描述符段描述符的属性```P位``````G位``````S位``````Type域``````DPL```段描述符与段寄存器结构的对应关系段选择子加载段描述符到段寄存器 前言 海东老师牛逼! 保护模式 X86 CPU的...
Windows句柄表学习笔记 —— 句柄表&全局句柄表
qq_41988448的博客
03-19 3407
Windows句柄表学习笔记 —— 句柄表&全局句柄表前言句柄表实验一:在WinDbg中查看句柄表第一步:打开一个Win32窗口程序第步:编译并运行以下代码第三步:查看运行结果第四步:在WinDbg中定位句柄表句柄表结构实验:在WinDbg中查看并分析句柄表结构第一步:打开一个Win32窗口程序第步:编译以下代码并运行第三步:查看运行结果第四步:在WinDbg中定位最后一个句柄第五步...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值