SEH相关数据结构

最新推荐文章于 2021-01-12 16:51:57 发布
最新推荐文章于 2021-01-12 16:51:57 发布
阅读量619 收藏 1
点赞数
分类专栏: 加密与解密 文章标签: 异常处理 SEH 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/super_mimi/article/details/41623189
版权

TEB结构

          TEB(Thread Environment Block,线程环境块)在Windows9X系列中称为TIB(Thread Information Block,线程信息块),它记录着线程的重要信息。每一个线程对应一个TEB结构,在Windows2000 DDK中定义为:

typedef struct _NT_TIB {
    struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;
    PVOID StackBase;
    PVOID StackLimit;
    PVOID SubSystemTib;
    union {
        PVOID FiberData;
        DWORD Version;
    };
    PVOID ArbitraryUserPointer;
    struct _NT_TIB *Self;
} NT_TIB;

         与异常处理相关的项是指向_EXCEPTION_REGISTRATION_RECORD 结构的指针*ExceptionList,正好位于TEB的偏移0处。Windows在创建线程时,操作系统均会为每个线程分配TEB,而且都将FS段选择器指向当前线程的TEB数据,即TEB总是由[FS:0]指向的。

        下面所说的_EXCEPTION_REGISTRATION_RECORD 结构就是前面的异常处理的基本过程中链起来的异常处理线程基础。

EXCEPTION_REGISTRATION结构

     我能找到正式定义 EXCEPTION_REGISTRATION 结构的唯一地方是 EXSUP.INC 文件,该文件来自 Visual C++ 运行库的源:

_EXCEPTION_REGISTRATION struc
	prev dd ?		;指向前一个EXCEPTION_REGISTRATION结构的指针
	handler dd ?		;当前异常处理回调函数的地址
_EXCEPTION_REGISTRATION ends

  你还将看到该结构在 WINNT.H 文件中定义的 NT_TIB 结构中被引用为 _EXCEPTION_REGISTRATION_RECORD。唉,除此之外,没有什么地方能找到 _EXCEPTION_REGISTRATION_RECORD 的定义,所以我只能使用 EXSUP.INC 文件中定义的汇编语言结构。

         其中,prev是指向前一个EXCEPTION_REGISTRATION(简称ERR)的指针,形成一个链状结构;handler指向异常处理代码,当系统遇到一个它不知道如何处理的异常时,它就查找异常处理链表。每个线程都有它自己的异常处理链表。

00401000 >  8D4424 F8       lea eax,dword ptr ss:[esp-0x8]    ;分配8个字节来存放ERR结构,并把地址存放到eax中
00401004    64:8705 0000000>xchg dword ptr fs:[0],eax         ;eax和fs:[0]交换位置,现在的eax指向一开始fs:[0]的ERR结构;fs:[0]指向现在构造的ERR结构
0040100B    BB 2E104000     mov ebx,Seh.0040102E
00401010    53              push ebx                          ;handler
00401011    50              push eax                          ;prev
00401012    BE 00000000     mov esi,0x0
00401017    8B06            mov eax,dword ptr ds:[esi]        ;当这里读取异常的时候,将交给系统异常处理,处理完毕后,调回到handler执行
00401019    6A 00           push 0x0
0040101B    68 00304000     push Seh.00403000                        ; ASCII "OK"
00401020    68 10304000     push Seh.00403010                        ; ASCII "SEH Fail"
00401025    6A 00           push 0x0
00401027    E8 1C000000     call <jmp.&USER32.MessageBoxA>
0040102C    EB 13           jmp short Seh.00401041
0040102E    6A 00           push 0x0
00401030    68 00304000     push Seh.00403000                        ; ASCII "OK"
00401035    68 03304000     push Seh.00403003                        ; ASCII "SEH Succeed "
0040103A    6A 00           push 0x0
0040103C    E8 07000000     call <jmp.&USER32.MessageBoxA>
00401041    6A 00           push 0x0
00401043    E8 06000000     call <jmp.&KERNEL32.ExitProcess>
00401048  - FF25 08204000   jmp dword ptr ds:[<&USER32.MessageBoxA>] ; user32.MessageBoxA
0040104E  - FF25 00204000   jmp dword ptr ds:[<&KERNEL32.ExitProcess>; kernel32.ExitProcess


            当堆栈刚出现这个的时候,就要注意handler的地址,因为程序即将跳到handler的地址执行。分析的时候需提前下断。

经典的误导
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5.SEH结构异常处理
My classmates
10-30 1170
当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 KiUserExceptionDispatcher会调用RtIDispatchException函数来查...
32汇编 — SEH1
08-04
在Windows操作系统中,SEH(Structured Exception Handling,结构异常处理)是一种用于处理程序异常的机制,它允许程序员...通过理解SEH的工作原理和相关数据结构,开发者可以更有效地管理和解决程序中的异常情况。
SEH结构
weixin_30768175的博客
01-04 388
首先有几点问题 1.在后文中看到的PE的节中的配置信息表Load configuration是对SEH回调函数的注册,那么Exception Table是加载的什么信息。 2.什么时候走进系统异常,什么时候走进自己注册的异常回调函数。 摘自 《加密与解密》和《Windows PE权威指南》 0x01 Windows结构异常处理   结构异常处理是Windows OS处理程序错误...
SEH相关数据结构(续)
经典的误导的专栏
11-30 581
继上一篇SEH相关数据结构,还有三个结构体很重要。 它们是EXCEPTION_POINTERS、EXCEPTION_RECORD、CONTEXT 当一个异常发生时,操作系统向引起异常的线程的堆栈里压入EXCEPTION_POINTERS结构: typedef struct _EXCEPTION_POINTERS { PEXCEPTION_RECORD ExceptionRecord;
深入解析结构异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构异常处理(SEH) - by Matt Pietrek
(转载)A Crash Course on the Depths of Win32 Structured Exception Handling
Kendiv's Box
03-27 2272
A Crash Course on the Depths of Win32 Structured Exception Handling创建时间:2005-03-16文章属性:翻译文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)A Crash Course on the Depths of Win32 Structured Exception HandlingM
易语言源码易语言seh结构化处理模块源码.rar
02-17
6. 错误预防:除了异常处理,易语言的SEH模块还可能涉及如何通过编程技巧和设计模式来预防错误,例如使用安全的API调用、数据验证等。 通过学习易语言SEH结构化处理模块的源码,开发者不仅可以提升对易语言的理解,...
易语言-seh结构化处理易语言模块
06-29
seh结构化处理易语言模块源码易语言如何自学
7_3_SEH_heap.rar_SEH
最新发布
09-24
这可能导致数据破坏,甚至可以覆盖重要的控制流结构,如SEH链表。 **3. 利用SEH的堆溢出** 攻击者通过堆溢出可以改变SEH链表中的异常处理程序地址,将其指向恶意代码的地址。这样,当程序触发异常时,执行流程将转...
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2281
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
解析结构异常处理(SEH)(第一部分)
05-15 208
参考大牛总结自己:http://www.cppblog.com/weiym/archive/2015/02/27/209884.html 当一个线程出现错误时,操作系统给你一个机会被告知这个错误。说得更明白一些就是,当一个线程出现错误时,操作系统调用用户定义的一个回调函数。这个回调函数可以做它想做的一切。例如它可以修复错误,或者它也可以播放一段音乐。无论回调函...
SEH汇编
雪之梦的专栏
06-24 1909
00401000 >/$ E8 0B000000 CALL seh.00401010 ;//下一条指令入栈(返回地址)00401005 |. 8B6424 08 MOV ESP,DWORD PTR SS:[ESP+8] ;//指向lpseh。lpseh是我们EXCEPTION_REGISTRATION结构的地址。00401009 |. 31C0 XO
【VS开发】关于SEH的简单总结
weixin_30391339的博客
05-21 381
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗. 1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/excepti...
SEH结构异常处理
qq_35426012的博客
10-24 757
SEH结构化异常 1FS段存有线程信息结构体TIB 2储异常信息的链表指针为TIB结构体的第一个成员 3通过dt _EXCEPTION_REGISTRATION_RECORD发现链表指针的结构 前4个字节:指向下一个异常处理结构体指针的位置,形成链表 后4个字节:指向一个异常回调函数 4异常回调函数 //异常回调函数声明 int _except_handler3( PEXCEPTION...
Windows异常学习笔记(四)—— 编译器扩展SEH
qq_41988448的博客
01-12 535
Windows异常学习笔记(四)—— 编译器扩展SEH前言要点回顾编译器支持的SEH过滤表达式 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 当我们通过编程实现windows的异常处理方式使用SEH结构化异常时,我们必须做如下几件事情 将异常处理函数挂入SEH链表 需要自定义一个异常处理函数(异常过滤,异常处理) 注意:这种方式相对而言不太方便,因此现在的编译器都对SEH结构化异常提供了语法支持,并在其之上做了一定的拓展 编译器支
SEH除零异常处理及值传递、引用传递汇编浅谈
weixin_33866037的博客
10-16 244
笔记分享// 过滤函数(发生异常之后通过__except(过滤表达式调用)) DWORD Filters(DWORD Code, PEXCEPTION_POINTERS ExceptionInfo) { /*这只是个测试,捕获到除零异常之后根据情况判断什么类型的异常(根据实际情况来)*/ switch (Code) { // 内存访问方面异常 case EX...
攻击windows异常处理机制SEH
0pt1mus
05-23 1544
转载自个人博客0pt1mus 0x00 简介 本文主要有两个部分。第一部分介绍windows异常处理机制中的SEH,详细介绍SEH的工作原理。第二部分介绍如何通过栈溢出实现利用SEH来绕过GS。 0x01 SEH异常处理结构体) SEH的全称是Structure Exception Handler,翻译为异常处理结构体,它是Windows异常处理机制所采用的的重要数据结构。每个SEH结构体包含两个DWORD指针:SEH链表指针和异常处理函数句柄,共八个字节。如下图: 对SEH的初步理解,我们要了解一下几
SEH的非常好的总结
w1012747007的专栏
08-12 4754
深入解析结构异常处理(SEH) 尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变: http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Piet
SEH1:理解Windows异步异常处理与线程/进程级监控
总结,本文介绍了Windows系统中的SEH异常处理机制,包括其结构、分类、数据结构以及异常处理流程,这对于理解和优化程序的异常处理能力有着重要的指导意义。同时,了解如何配置和使用异常处理回调函数,可以帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值