学习心得-------seh(3)

最新推荐文章于 2022-02-23 15:02:25 发布
最新推荐文章于 2022-02-23 15:02:25 发布
阅读量1.1k 收藏
点赞数
文章标签: exception 破解 编译器 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sssa2000/article/details/37162
版权

seh(3)

  明天去郊外去春游,心里很兴奋哦。

   上次贴了一段代码,里面的回调函数有一长串参数,现在解释一下:

   _Handler  proc   _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext

 

   _lpExceptionRecord指向EXCEPTION_RECORD结构。

 

   _lpContext指向一个Context结构。这个结构保存了异常发生的时候所有寄存器的值。这个结构比较常用的字段有regEip。他用来得知异常发生的位置。如果要修正某个寄存器中的错误取值修改这个字段就可以了。

   _lpSEH指向注册回调函数时使用到的EXCEPTION_REGISTRATION结构的地址。如果希望异常处理程序能被封装在子程序里面的话,这个参数必不可少,如果不需要,就没用。

 

 

谈谈展开操作。

 

   什么叫展开?

   展开就是Unwinding。假设出现异常,seh链上有多个回调函数,但是没有一个函数能够处理的话,系统会把每一个回调函数调用一次,这个时候参数中指定的异常代码就是EXCEPTION_UNWIND。

 

好了,我们现在要应用了,SEH可以干什么?这其实是最先应该想到的,我们不可能什么都学,要有所选择。所以这应该是我们看这篇文章的第一个问题。

 

除了可以使我们的程序更加健壮,还可以做一些坏事,例如进入RING0,反跟踪,获得Kernel32的地址等等,这就是我学习seh的目的。我也是最近几天学seh的,在学习过程中我也有很多没明白的地方,希望和大家讨论一下

 

现在我们来预热一下:

CIH将handler指向它自己程序中。在它入口处有如下代码:

                                                                                 

    MyVirusStart:                                             

    ; Ring3代码入口点              

               push    ebp                                             

                                                                                 

    ; *************************************                                         

    ; * Let's Modify Structured Exception *                                         

    ; * Handing, Prevent Exception Error  *                                         

    ; * Occurrence, Especially in NT.     *                                         

    ; *************************************                                          

                                                                                

   lea  eax, [esp-04h*2]

;在栈中分配8字节存放_EXCEPTION_REGISTRATION结构,相当于C中基于栈的数据,即局部变量(C编译器中完成)这样EAX即指向_EXCEPTION_REGISTRATION的指针,但此时_EXCEPTION_REGISTRATION结构未初始化;具体实现机制可翻阅编译原理书籍和Matt Pietrek大师文章

               xor     ebx, ebx                                 

               xchg    eax, fs:[ebx] ;FS:[0]<->EAX

                       ;此时EAX存放的是原来异常处理代码,FS:[0]指向TEB中ExceptionList(FS指向TEB,ExceptionList偏移为0,即FS:[0])

                  call    @0                                              

         @0:                                                                             

               pop     ebx

                          ;此三行计算代码入口,此时ebx就是@0的地址,如果不明白请参看有关病毒的教程             

               lea   ecx, StopToRunVirusCode-@0[ebx]

                          ;将ecx指向自己内部代码处

               push    ecx

                       ;填充_EXCEPTION_REGISTRATION结构的handler

            ;在发生异常时,操作系统会自动调用,此时为CIH代码

                                                                   

               push    eax

                       ;EAX为原来异常处理代码

                       ;填充_EXCEPTION_REGISTRATION结构的prev

 

        .

        .

        .

                                                                         

    这其后CIH调用int 3使系统发生异常,仍能进入自已的代码,   

                        int 3 ;  

int3在破解中就是breakpoint,呵呵,学了一些时候的破解总算能用一下了。

 

 

呵呵,怎么样,是不是觉得也不是很难呢?

在这里,不知道你们有没有一个问题,这个问题从我开始学习cih代码到现在都一直存在,那就是,为什么可以用seh来现进入ring0,seh为实什么可以突破封锁进入ring0呢?我心里模模糊糊有点概念,但是写出来却写不清楚,大家如果谁知道,还请指教哦。

好了,下次我们就要开始令人激动的旅程了。

 

 

sssa2000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习心得---关于seh(1)
sssa2000的专栏
07-08 1224
                    关于seh(1)  好久就想写点东西了,无赖自己太懒了。好不容易写了篇进程插入得投了,还被退回来了,郁闷。    天天打游戏,玩奇迹,其实每天我都知道要好好学习,就是克制不住。正题。   大家看清楚了,这里写的不是SHE偶像组合,是结构化错误处理,不知道我有没有翻译错误。   其实以前我对这玩意儿重来不在乎,不就是try,catch么,有什么难的,这些天也看
关于SEH(结构化异常处理)的一些知识
lanwanjunxixihaha的专栏
06-17 949
梳理老罗win32汇编关于SEH一章的知识。 异常处理方式有两种: 筛选器异常处理和结构化异常处理,筛选器是全局性的,无法为一个线程或一个子程序单独设置一个异常处理回调函数,而结构化异常处理(Structured Exception Handing)SEH提供了每个线程之间独立的异常处理方法。 以下以两个例子来学习SEH 例子1:不含栈展开操作的异常处理(栈展开会在例子二中介绍) .386
SEH处理异常
bingghost
01-25 4926
Win32为每个线程定义了一个线程信息块,其中保存了线程的一些属性数据,线程信息块的属性被定义为NT_TIB结构 typedef struct _NT_TIB {     struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;     PVOID StackBase;     PVOID StackLimit;     PVOID Su
总结进入RING0的方法
01-24 1388
关于进入RING0层的方法,大家一定听说过不少,我在复习保护模式编程中将一些进RING0的方法;总结了一下,包括调用门,任务门,中断门,陷阱门等,这些方法都是直接利用IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所以我们不能用这些方法,不过如果一旦突破了NT的保护,那么所有的方法就都可以使用了,其他的还有SEH等方法,我在前面的文章中也有介绍。 ---
SEH 进阶(1)
商少
04-23 1532
SHE进阶 了解了上一篇的文章之后,我们写一个简单的例子来验证我们的想法,并学习新的知识。 不同的编译器提供的增强版本SHE 可能不同,但是它们都是基于windows 底层SHE 的。我们使用Win10 1703 + VS2010 生成X86 Rlease 程序来验证已经学过的知识,后面使用XP x86 7600 来学习编译器版本的SHE。 编译如下程序 #define WIN32_LEA
学习心得----seh(4)
sssa2000的专栏
07-08 1164
解读cih进入ring0的秘密   看了大家对前面几篇的评论,觉得有点怪异,看来大家对技术的追求还不是那么强烈,声明以下,我写的这些东西或许永远也不会对你的实际应用有帮助,这只是黑客们对技术的研究,如果你的愿望只是一般的编程,这篇文章不适合你。   这几天开始编一个游戏,以前没有接触过游戏编程,觉得很有意思,还有directX的编程,真得很爽,我估计也就几天的热情吧,呵呵。   还有,我知道我的老
qt编译运行找不到 libgcc-s-seh-1.dll
12-06
qt编译运行找不到 libgcc-s-seh-1.dll
libcc-s-seh-1.dll(附安装教程)
08-15
《libcc_s_seh-1.dll:解决程序错误的关键组件》 在计算机编程和软件运行过程中,动态链接库(Dynamic Link Library,简称DLL)扮演着至关重要的角色。它们是Windows操作系统中的一种共享代码库,允许多个应用程序...
x86_64-8.1.0-win32-seh-rt_v6-rev0.zip
07-06
标题 "x86_64-8.1.0-win32-seh-rt_v6-rev0.zip" 暗示的是一个针对x86_64架构的MinGW-w64工具链的发行版,版本号为8.1.0,用于在Windows 64位操作系统上编译C和C++源代码。这个压缩包是专门设计来生成64位Windows可...
x86_64-4.9.1-release-posix-seh-rt_v3-rev0.7z
07-09
MinGW-w64安装包,解决MinGW-w64安装过程中的 ERROR RES 及 压缩包已损坏问题。原下载地址: ...
mingw-w64-x86-64-V8.1.0-win32-seh离线安装包.rar
06-13
x86_64-8.1.0-release-win32-seh-rt_v6-rev0.7z是主要的安装文件,它包含了编译器和其他必要的库文件。7z是一种高效的压缩格式,能提供更好的压缩比,减少下载和存储的体积。用户需要先解压这个文件,然后按照文档中...
利用调用门从Ring 3进入Ring 0[转]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
06-30 5333
☆ 利用调用门从Ring 3进入Ring 0观察用户空间程序memdump.exe执行时CS、DS、FS所对应的段描述符:--------------------------------------------------------------------------> memdump -l 8GDTR.base             = 0x8003F000GDTR.limit       
SEH示例2_5
ljjue的专栏
12-23 652
;************************************************************************;*项目名称:Thread SEH示例      *;************************************************************************;*代码名称:Thread SEH_2_4.asm   
异常处理回调函数
经典的误导的专栏
12-04 2083
SEH异常处理回调函数的参数定义如下: _Handlerproc{ _lpExceptionRecord, //指向一个EXCEPTION_RECORD结构 _lpSEH, //指向EXCEPTION_REGISTRATION结构地址 _lpContext, //指向CONTEXT结构 _lpDispatcherContext } 返回值: Excepti
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8855
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3321
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6412
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
mingw-w64 gcc-8.1.0 seh
最新发布
06-19
### 回答3: mingw-w64 gcc-8.1.0 seh(Structured Exception Handling,结构化异常处理)是一种在Windows系统上处理异常的机制。mingw-w64是一个免费的开源软件项目,旨在向Windows平台移植GNU Compiler Collection...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值