理解操作系统对程序的反馈:异常(Exception)和通知(Debug Event)【1】

最新推荐文章于 2022-05-20 17:42:29 发布
最新推荐文章于 2022-05-20 17:42:29 发布
阅读量793 收藏 1
点赞数
文章标签: exception microsoft 编译器 crash events c

本小结首先介绍异常的原理和相关资料,再举例说明异常跟崩溃和调试是如何紧密联系在一起的。最后说明如何利用工具来监视异常,获取准确的信息。

2.3.1 异常(Exception)的方方面面和一篇字字珠玑的文章

异常是CPU,操作系统和应用程序控制代码流程的一种机制。正常情况下,代码是顺序执行的,比如下面两行:

*p=11;

printf(“%d”,*p);

这里应该会打印出11。 但若p指向的地址是无效地址呢?那么这里对*p赋值的时候,也就是CPU向对应地址做写操作的时候,CPU就会触发无效地址访问的异常,接下来的printf很可能就不会执行了。

从这个简单的例子可以看到,当程序行为跟预期相左的时候,很可能就是异常的发生改变了程序的执行逻辑。在很多案例中,抓准异常的原因,其实就解决了问题。

异常发生的时候,由于操作系统在内核挂接了对应的 CPU异常处理函数,CPU就会跳转去执行操作系统提供的处理函数,所以printf就不一定会被执行了。在操作系统的处理函数里面,如果检测到发生在用户态的程序的异常,操作系统会再把异常信息发送给用户态进程对应的处理函数,让用户态程序有处理异常的机会。

用户态程序处理完了异常,代码会继续执行,不过执行的次序可以是紧接着的下一个指令,比如printf,也可以跳到另外的地址开始执行,比如catch block,或者重新执行一次出错的指令。这些都是用户态的异常处理函数可以控制的。

如果用户态程序没有处理这个异常,那操作系统的默认行为就是中止程序的执行,然后用户可以看到给Microsoft发送错误报告的界面,或者干脆就是一个红色的框框,说某某地址上的指令在访问某某地址的时候遭遇了访问违例的错误。

除了上面的非预期异常,也可以手动触发异常来控制执行顺序,C++/C# 中的throw关键字就可以触发异常。手动触发异常需要依赖于编译器和操作系统API来实现。

异常的类型,是通过异常代码来标识的。比如访问无效地址的号码是0xc0000005,而C++异常的号码是0xe06d7363。其他很多看似跟异常无关的东西,其实都是跟异常联系在一起的,比如调试的时候设置断点,或者单步执行,都有通过break point exception来实现的。越权指令,堆栈溢出的处理也依靠异常。在Windbg帮助文件的Controlling Exceptions and Events主题里面,有一张常用异常代码表。

程序的行为跟预期的不一样,直接原因是代码执行次序跟预期的不一样。异常改变了代码执行次序,比如代码中从来都没有什么函数跳一个红框框出来,说某某地址上的指令在访问某某地址的时候遭遇了访问违例。弄清楚异常发生的时间、地址、导致异常的指令和异常导致的结果对排错是至关重要的。

异常如此重要,所以操作系统提供了对应的调试功能,可以使用调试器来检视异常。异常发生后,操作系统在调用用户态程序的异常处理函数前,会检查当前用户态程序是否有调试器加载。如果有,那么操作系统会首先把异常信息发送给调试器,让调试器有观察异常的第一次机会,所以也叫做first chance exception,调试器处理完毕后,操作系统才让用户态程序来处理。

如果用户态程序处理了这个异常,就没调试器什么事了。否则,程序在unhandled exception崩溃前,操作系统会给调试器第二次观察异常的机会,所以也叫做second chance exception。

请注意,这里的1st chance, 2nd chance是针对调试器来说的。虽然C++异常处理的时候也会有first phrase find exception handler, second phrase unwind stack这样的概念,但是两者是不一样的。

操作系统提供的异常处理功能叫做 Structrued Exception Handle(SEH),C++和其他高级语言的异常处理机制都是建立在SEH上的。如果要直接使用SEH,可以在C/C++中使用__try,__except关键字。

关于异常处理的详细信息,所有的来龙去脉,操作系统做了些什么事情,C++编译器做了些什么事情,SEH和C++异常处理的关系,以及调试器是如何参与的,下面几篇文章有非常详细的介绍。

A Crash Course on the Depths of Win32™ Structured Exception Handling

http://www.microsoft.com/msj/0197/Exception/Exception.aspx

这篇文章出来后,没见人写第二篇了。深入浅出,字字珠玑。

RaiseException

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/debug/base/raiseexception.asp

注意,上面链接中,remark section详细介绍了异常处理函数是如何被分发的。

uestcylg
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【逆向】【Part 3】DLL注入
lanlanla的成长历程
01-08 1257
目录 一、通过自制调试器来理解其原理 1.调试器的工作原理 实现反汇编功能(重点) 重点分析exception_debug_event 重点:1.对调试器程序增加异常处理操作功能,核心API,CONTEXT结构 二、DLL注入 重点:2.DLL注入的三种基本方法 1.利用全局消息钩子(Windos消息钩取( SetWindowsHookEx() API )) 2.写注册表 3...
C++岗位面试真题宝典 -- 操作系统
橘嘉禾
03-02 89
2.1 Linux中查看进程运行状态的指令、查看内存使用情况的指令、tar解压文件的参数。 参考回答 查看进程运行状态的指令:ps命令。“ps -aux | grep PID”,用来查看某PID进程状态 查看内存使用情况的指令:free命令。“free -m”,命令查看内存使用情况。 tar解压文件的参数: 五个命令中必选一个 -c: 建立压缩档案 -x:解压 ...
软件调试之硬件断点
maomao171314的专栏
11-18 2754
硬件断点 1.调试寄存器 IA-32处理器定义了8个调试寄存器,分别为DR0~DR7。在32位模式下,它们是32位的;在64位模式下,它们是64位的。如下图: DR4、DR5 是保留的。 4个32位调试地址寄存器(DR0~DR3),64位下是64位的。 1个32位调试控制器(DR7),64位时,高32位保留未用。 1个32位的调试状态寄存器(DR6),64位时,高32位保留未用。 最多可以设置4个断点。其分工是DR0~DR3用来指定断点的内存(线性地址)或I/O地址。DR7定义断点的中断条
理解操作系统程序反馈异常Exception)和通知Debug Event)【2】
uestcylg的专栏
11-01 948
2.3.3 通知Debug Event)是操作系统跟调试器交流的一种方法通知,也叫做调试信息(Debug Events),是操作系统在某些事件发生的时候,通知调试器的一个手段。跟异常处理相似,操作系统在某些事件发生的时候,会检查当前进程是否有调试器加载。如果有,就会给调试器发送对应的消息,以便使用调试器进行观察。跟异常不一样的地方就是,只有调试器才会得到通知,应用程序本身是得不到的。同时调试器得到通知后不需要做什么处理,没有1st /2nd chance的差别。在Windbg帮助文件的Controllin
处理关键的调试事件
乱七八糟の中转站
08-30 577
EXCEPTION_DEBUG_EVENT调试事件是调试器和debugee交互的重要手段,通过处理EXCEPTION_DEBUG_EVENT调试事件可以完成常规的断点、单步执行等操作。
exception_notification-shoryuken:Shoryuken http的Rails异常通知程序插件
04-03
这个Ruby宝石是宝石的扩展,并提供了一组通知器,用于在 worker中发生错误时发送通知。 如果将Shoryuken worker用作异步进程,这将很有用。 安装 将此行添加到您的应用程序的Gemfile中: gem 'exception_...
bearychat-exception:laravel异常通过bearychat通知
04-28
贝里沙特例外laravel异常通过bearychat通知安装composer require cblink/bearychat-exception 将服务提供者添加到config/app.php的providers数组中: ElfSundae\BearyChat\Laravel\ServiceProvider::class, 发布配置...
elastic_notifier:ElasticSearch的Ruby异常通知程序
05-12
ElasticNotifier ElasticNotifier gem提供了一个简单的API,用于将错误通知发送到Elastic Search实例。 它也可以用作 gem的插件,以发送Rack中间件捕获的错误通知。安装将此行添加到您的应用程序的Gemfile中: gem '...
.NET程序调试技巧(一):快速定位异常的一些方法
01-20
作为一个程序员,解BUG是我们工作中常做的工作,甚至可以说解决问题能力是一个人工作能力的重要...假设我们都是使用的的VisualStudio,那么只需要在调试->异常菜单中将Common Langeuage Runtime Exception(CLR异常)勾
lumen-chained-exception-handler:Lumen框架的链式异常处理程序
05-24
流明链异常处理程序 该实用程序允许您将Lumen应用程序中的多个异常处理程序链接在一起。 如果要使用默认异常处理程序的呈现功能,但又要使用第三方异常处理程序中的报告逻辑,则此功能很有用。 通常可以通过添加另...
[Win32]一个调试器的实现(三)异常
lixiangminghate的专栏
09-23 2700
这回接着处理上一篇文章留下的问题:如何处理EXCEPTION_DEBUG_EVENT这类调试事件。这类调试事件是调试器与被调试进程进行交互的最主要手段,在后面的文章中你会看到调试器如何使用它完成断点、单步执行等操作。所以,关于这类调试事件的处理很自由,调试器的作者可以根据需要进行不同的处理。但是,在对其进行处理之前必须要了解一些关于异常的知识,这也是本文的重点。(本文的内容参考了《软件调试》一书)
Windows软件调试学习笔记(三)—— 调试事件的处理
qq_41988448的博客
07-29 1142
软件调试学习笔记(三)—— 调试事件的处理要点回顾调试事件的处理实验一:实现简单调试器(创建进程)实验二:分析异常来源实验三:实现简单调试器(附加进程)实验四:分析NtDebugActiveProcess总结 要点回顾 当调试器与被调试进程建立连接后,调试器与被调试进程关系如下图所示 被调试进程产生调试事件时,会有专门的API对调试事件进行捕获,并写入调试事件链表当中。 调试器不断检索调试事件链表,不断从调试事件链表中取出调试事件并进行处理。 调试事件的处理 调试器调试目标进程步骤: 关联(创建进程
《逆向工程核心原理》学习笔记(四):API钩取
闵行小鱼塘
05-20 2274
继续学习《逆向工程核心原理》,本篇笔记是第四部分:API钩取,主要介绍了调试钩取、DLL注入实现IAT钩取、API代码修改钩取和全局API钩取等内容
3.调试事件的处理
My classmates
11-02 1007
调试器会有一个循环一直判断EventList有没有调试事件有就取出来处理。 调试器创建形式 关联调试器与被调试器进程 调试循环 每一种收集调试事件API都不一样,是因为它要收集调试事件的类型是不一样的。 这是异常要收集的调试事件 typedef struct _EXCEPTION_DEBUG_INFO { EXCEPTION_RECORD ExceptionRecord; ...
Windows用户态程序高效排错 -- 异常Exception)和通知Debug Event
agan4014的专栏
03-20 5611
 理解操作系统程序反馈异常Exception)和通知Debug Event)本小结首先介绍异常的原理和相关资料,再举例说明异常跟崩溃和调试是如何紧密联系在一起的。最后说明如何利用工具来监视异常,获取准确的信息。2.3.1  异常Exception)的方方面面和一篇字字珠玑的文章异常是CPU,操作系统和应用程序控制代码流程的一种机制。正常情况下,代码是顺序执行的,比如下面两行
[异常分发]一:R3调试器流程
dog0230的博客
05-10 231
一:R3调试器流程 基础知识: 异常处理发生的处理大概过程如下: 1)系统查看产生异常的进程是否正在被调试,是则向调试器发送Exception_Debug_Event事件; 2)如果进程没有被调试或调试不处理此异常,那么系统检查异常所处的线程,并在这个线程的环境中查看FS:[0]来确定是否安装了SEH异常处理回调函数,有则调用; ...
-异常处理-
weixin_52369224的博客
03-03 577
简介: 异常分为俩种,CPU产生的异常(除0,缺页)和软件模拟产生的异常 来自《加密与解密》 SEH: SEH是Windows操作系统提供的异常处理机制,在程序源代码中使用_try、__except、_finally关键字来具体实现。 TEB/T: typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; //异常的链表 PVOID StackBase;
浅谈 arch_local_irq_save 及arm64 debug exceptions
weixin_43512663的博客
03-16 758
追__raw_spin_lock_irqsave 代码时,发现了arch_local_irq_save 这个函数,顺便看了下这个函数 static inline unsigned long arch_local_irq_save(void) { unsigned long flags; asm volatile( "mrs %0, daif // arch_local_irq_save\n" "msr daifset, #2" : "=r" (flags) : : "memory"
加密与解密(第四版)第9章 win32调试API
冰糖葫芦的夏天的博客
12-10 280
调试相关函数 ContinueDebugEvent:允许调试器恢复先前由于调试事件而挂起的线程 DebugActiveProcess:允许调试器捆绑到一个正在允许的进程上 DebugActiveProcessStop:允许调试器从一个正在运行的进程上卸载 DebugBreak:在当前进程中产生一个断点异常,如果进程未处于调试状态,异常将被系统阶段,多数情况下会直接终止进程 DebugBreakProcess:在指定的进程中产生一个断点异常 FatalExit:将使调用进程强制退出,将控制权转交给
throw 异常Exception 和 RuntimeException
最新发布
05-23
在Java中,异常分为两种类型:受检异常(Checked Exception)和未受检异常(Unchecked Exception)。 受检异常(Checked Exception)是指在编译时就能够被检测到的异常,例如IOException、SQLException等等。在使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值