理解UnhandledExceptionFilter

最新推荐文章于 2022-07-30 15:51:26 发布
VIP文章 最新推荐文章于 2022-07-30 15:51:26 发布
阅读量9.1k 收藏 6
点赞数 1
分类专栏: 开发与调试 文章标签: exception search windows report 平台 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/viper/article/details/6204715
版权

 最初发表在QQ空间,全文参见 理解UnhandledExceptionFilter

UnhandledExceptionFilter,在一个windows平台上的C/C++程序中,主线程的SEH框架会有2层,最外层是BaseProcessStart,里面是mainCRTStartup,这意味着一般情况下,当有异常发生时,UnhandledExceptionFilter会被调用2次。安静

UEF首先会检测当前进程的DebugPort,如果存在,则返回EXCEPTION_CONTINUE_SEARCH,继续分发异常。这也是为什么,只有在调试情况下,用户态异常才有第2轮分发的机会。

下面,UEF会调用_BasepCurrentTopLevelFilter(如果存在),这个值是用SetUnhandledExceptionFilter设定的。参见 Windows平台下的异常处理

最低0.47元/天 解锁文章
招RD和QA
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
第22章-OllyDbg反调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
第二十二章-OllyDbg 反调试之 UnhandledExceptionFilter,ZwQueryInformationProcess本章我们继续讨论反调试
SetUnhandledExceptionFilter让程序优雅的崩溃(转)
ahoo110的博客
05-24 771
虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。所以一拍脑袋,想让自己的程序崩溃的体面一点。自己想了大概的思路,觉得可以用一个进程来监控目标程序。的确也可以拿到了目标程序崩溃的信息,知道它什么时候崩溃的,也可以做额外的操作,但是这样是没办法把默认的发送错误的对话框去掉的。然后又有人说是不是采用了
调试器攻击技术 - Unhandled Exception Filter
codemanrock
04-08 1454
5、 Unhandled Exception Filter MSDN文档声明当一个异常到达Unhandled Exception Filter(kernel32!UnhandledExceptionFilter)并且程序没有被调试时,Unhandled Exception Filter将会调用在kernel32!SetUnhandledExceptionFilter()API作为参数指定
实现 UnhandledExceptionFilter() 需要的几个问题
Nick 开发日志
12-12 2677
dump file 是分析程序 crash 的利器, 在程序 crash 时写 dump 文件就是很自然的了. 而想要在程序 crash 的时候写 dump, 就不得不提 UnhandledExceptionFilter() 函数. 通过 API SetUnhandledExceptionFilter() 将自己写的 UnhandledExceptionFilter() 告诉操作系统, 系统在程序
VS2005中SetUnhandledExceptionFilter函数应用
Richard的专栏
10-24 1616
很多软件通过设置自己的异常捕获函数,捕获未处理的异常,生成报告或者日志(例如生成mini-dump文件),达到Release版本下追踪Bug的目的。但是,到了VS2005(即VC8),Microsoft对CRT(C运行时库)的一些与安全相关的代码做了些改动,典型的,例如增加了对缓冲溢出的检查。新CRT版本在出现错误时强制把异常抛给默认的调试器(如果没有配置的话,默认是Dr.Watson),而不再通
异常处理——异常处理简介之UnhandledExceptionFilter(1)
caicaptain
03-24 2436
异常处理流程在软件开发过程中,总会遇到许许多多的bug。如果在开发过程中,出现bug异常,未处理,就会导致程序崩溃。崩溃了,系统会先自动先去处理,一般是UnhandledExceptionFilter这个函数在调试。//未处理异常示例 *(int *)0 = 1 ; //语句错误,未处理一些处理异常的返回值 EXCEPTION_CONTINUE_SEARCH(0)(作为返回值,表示处理失败,系统继
WinDbg调试dmp(查找问题的异常堆栈时出现的 UnhandledExceptionFilter 调用堆栈跟踪中和其他技巧)
小磊的专栏
05-17 6096
1.使用windbg打开dump文件,同时设置symbols。 如果之前下载过windows的symbols就直接设置symbols path: (windows和程序的pdb) 例如:C:\Symbols;E:\work\技术分享\dump分析\1115服务器无响应dump\gsss\gssssvr 如果之前没有下载过windows的s...
SetUnhandledExceptionFilter
weixin_33816300的博客
01-28 121
现在有好多壳用 SetUnhandledExceptionFilter 安装了最后异常处理例程来愚弄 Ollydbg, 一开始确实难倒了我等菜鸟, 幸好后来有位俄罗斯高人写了个插件, 解决了这个问题, 但一直想知道原因. 最近抽空把 Hume 大侠的 SEH 文章反反复复看了好几遍, 又看了插件的 README, 总算有点明白了. 把他写出来, 请各位大侠看看, 多多指点.(...
Windows调试——基本知识
cuglifangzheng的专栏
02-23 629
基本寄存器和反汇编知识 EBP: 扩展基址指针寄存器(extended base pointer) 其内存放一个指针,该指针指向系统栈最上面一个栈帧的底部。 ESP: 栈顶指针,用于指向栈的栈顶(下一个压入栈的活动记录的顶部),而EBP为帧指针,指向当前活动记录的底部。 EIP: 指令寄存器,存放当前指令的下一条指令的地址。CPU该执行哪条指令就是通过IP来指示的。具体代码: 反汇编代码:#
使用OllyDbg从零开始Cracking 第二十二章-OllyDbg反调试之UnhandledExceptionFilter,
09-19
使用OllyDbg从零开始Cracking 第二十二章-OllyDbg反调试之UnhandledExceptionFilter,
软件加密技术内幕
03-19
5.1.7 利用UnhandledExceptionFilter检测 5.1.8 INT 41子类型 5.2 反跟踪技术(Anti-Trace) 5.2.1 断点检测 5.2.2 利用SEH反跟踪 5.2.3 SMC技术实现 5.3 反加载技术(Anti-Loader) 5.3.1 利用TEB检测 5.3.2 ...
种类齐全的调试与反调试,来自GitHub
12-06
- UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d ...
反调试 - SetUnhandledExceptionFilter
LYSM
07-12 4724
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常时,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
配合UnhandledExceptionFilterEx()实现崩溃后自动重启
秋月的私语
07-05 571
使用函数UnhandledExceptionFilterEx()捕捉崩溃,在崩溃前重启程序。 函数 int RestartProcess(bool bNormal = false); 中默认参数bNormal用于控制崩溃之后是否自动结束程序,具体可以自测。 #include "MiniDump.h" #include <windows.h> #include <ima...
WinDbg 查找问题异常堆栈,堆栈跟踪UnhandledExceptionFilter
yuan
05-21 2241
UnhandledExceptionFilter 函数调用时没有异常处理程序定义来处理引发的异常。 函数通常将异常传递达 Ntdll.dll 文件这将捕捉并试图处理它。 在该进程的内存快照存在某些情况下,您可以看到到一个线程持有锁点的线程调用的 UnhandledExceptionFilter 函数。 在这些情况中您可以按照本文标识导致异常的 DLL 中的步骤。Windbg.exe 打开转储文件下...
逆向基础-Windows异常
最新发布
AppWhite_Star的博客
07-30 413
Windows异常机制

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

招RD和QA

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值