理解UnhandledExceptionFilter

最新推荐文章于 2024-05-30 11:46:42 发布
最新推荐文章于 2024-05-30 11:46:42 发布
阅读量9.2k 收藏 6
点赞数 1
分类专栏: 开发与调试 文章标签: exception search windows report 平台 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/viper/article/details/6204715
版权

 最初发表在QQ空间,全文参见 理解UnhandledExceptionFilter

UnhandledExceptionFilter,在一个windows平台上的C/C++程序中,主线程的SEH框架会有2层,最外层是BaseProcessStart,里面是mainCRTStartup,这意味着一般情况下,当有异常发生时,UnhandledExceptionFilter会被调用2次。安静

UEF首先会检测当前进程的DebugPort,如果存在,则返回EXCEPTION_CONTINUE_SEARCH,继续分发异常。这也是为什么,只有在调试情况下,用户态异常才有第2轮分发的机会。

下面,UEF会调用_BasepCurrentTopLevelFilter(如果存在),这个值是用SetUnhandledExceptionFilter设定的。参见 Windows平台下的异常处理

然后,UEF中会检测是否显示GPF,如果不显示,则UEF返回EXCEPTION_EXECUTE_HANDLER,通常也就是终止进程。

UEF接下来会显示Error Box,要么用户选择关闭进程,也还是如上面一样,UEF返回EXCEPTION_EXECUTE_HANDLER,终止进程,要么用户就启用了JIT,UEF返回EXCEPTION_CONTINUE_SEARCH,这样才会有调用外层UEF的机会。

在第一次的UEF调用中,如果启用了JIT,则由于NtDebugActiveProcess函数的作用,当前的进程已经成为了一个被调试的进程,所以第2次的UEF调用中检测到当前进程是一个被调试的进程,直接返回了EXCEPTION_CONTINUE_SEARCH,这样也导致了第2轮的异常分发,调试器会首先收到这一异常。惊恐

从上面的流程可以看出,用户自定义的未处理异常过滤器即顶层异常过滤器被调用的条件是2个,1. 发生未处理的异常 2. 当前进程不在被调试

2011/05/04:

补充一个意外的发现,__report_gsfailure中UEF的特殊行为

 

 

招RD和QA
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
第22章-OllyDbg反调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
【标题】:深入理解OllyDbg反调试技术:UnhandledExceptionFilter与ZwQueryInformationProcess 【描述】:本文深入探讨OllyDbg反调试技术,重点解析如何利用UnhandledExceptionFilter和ZwQueryInformationProcess来...
异常处理——异常处理简介之UnhandledExceptionFilter(1)
caicaptain
03-24 2660
异常处理流程在软件开发过程中,总会遇到许许多多的bug。如果在开发过程中,出现bug异常,未处理,就会导致程序崩溃。崩溃了,系统会先自动先去处理,一般是UnhandledExceptionFilter这个函数在调试。//未处理异常示例 *(int *)0 = 1 ; //语句错误,未处理一些处理异常的返回值 EXCEPTION_CONTINUE_SEARCH(0)(作为返回值,表示处理失败,系统继
调试器攻击技术 - Unhandled Exception Filter
codemanrock
04-08 1562
5、 Unhandled Exception Filter MSDN文档声明当一个异常到达Unhandled Exception Filter(kernel32!UnhandledExceptionFilter)并且程序没有被调试时,Unhandled Exception Filter将会调用在kernel32!SetUnhandledExceptionFilter()API作为参数指定
windbg 定位正确UnhandledExceptionFilter 调用时堆栈
最新发布
qq_43179054的博客
05-30 174
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现UnhandledExceptionFilter这种情况,会弹出下图的系统错误弹窗遇到此错误时,手动获取问题进程的dump文件,您可以按照本文来标识导致异常的 DLL 中的步骤。
实现 UnhandledExceptionFilter() 需要的几个问题
Nick 开发日志
12-12 2737
dump file 是分析程序 crash 的利器, 在程序 crash 时写 dump 文件就是很自然的了. 而想要在程序 crash 的时候写 dump, 就不得不提 UnhandledExceptionFilter() 函数. 通过 API SetUnhandledExceptionFilter() 将自己写的 UnhandledExceptionFilter() 告诉操作系统, 系统在程序
SetUnhandledExceptionFilter让程序优雅的崩溃(转)
ahoo110的博客
05-24 859
虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。所以一拍脑袋,想让自己的程序崩溃的体面一点。自己想了大概的思路,觉得可以用一个进程来监控目标程序。的确也可以拿到了目标程序崩溃的信息,知道它什么时候崩溃的,也可以做额外的操作,但是这样是没办法把默认的发送错误的对话框去掉的。然后又有人说是不是采用了
记录程序崩溃时的调用堆栈
leioshu的专栏
07-21 962
记录程序崩溃时的调用堆栈在程序release之后,不可避免的会存在一些bug,测试人员和最终用户如何在发现bug之后指导开发人员进行更正呢?在MS的网站上,有一篇名为"Under the hook"的文章,讲述了如何把程序崩溃时的函数调用情况记录为日志的方法,对此感兴趣的读者可以去看一看原文,那里提供源代码和原理的说明。文章的作者提供了一个MSJExceptionHandler类来实现
使用OllyDbg从零开始Cracking 第二十二章-OllyDbg反调试之UnhandledExceptionFilter,
09-19
使用OllyDbg从零开始Cracking 第二十二章-OllyDbg反调试之UnhandledExceptionFilter,
Qt程序crash信息的捕捉与跟踪Demo
09-30
理解如何捕获和跟踪这些崩溃信息对于定位和解决问题至关重要。本文将详细讲解如何在Qt环境中实现这一功能,并通过一个名为"TestCrash"的示例程序来演示整个过程。 首先,我们需要了解Qt中的信号和槽机制。在Qt中,...
dump文件生成使用的总结
04-18
如果可能,根据dump文件中的信息在开发环境中尝试复现问题,以便更深入地理解和解决问题。 通过学习和实践dump文件的生成与分析,开发者可以在遇到程序崩溃时,快速定位问题,提高故障排查效率,从而提升软件的...
Win32 多线程程序设计(候捷译)
03-03
9. **实际案例分析**:为了帮助读者更好地理解和应用这些理论知识,书中可能会包含多个实际的多线程编程示例,涵盖不同的应用场景,如并发下载、并行计算等。 10. **调试和测试**:最后,书中会讲解如何利用Visual ...
VC 记录程序崩溃时的调用堆栈
06-14 2872
最近有个用户遇到程序Crash问题,但我们的机器都不能重现,于是在网上搜了一把,发现有个MSJExceptionHandler类还比较好用,故整理了一下供大家参考。 这个类的使用方法很简单,只要把这个类加入到你的工程(不管是MFC,com,dll都可以)中一起编译就可以了,由于在这个类的实现文件中把定义了一个全局的类对象,所以不用加入任何代码,连#include都不需要。 一、VS2005创建
WinDbg调试dmp(查找问题的异常堆栈时出现的 UnhandledExceptionFilter 调用堆栈跟踪中和其他技巧)
小磊的专栏
05-17 6341
1.使用windbg打开dump文件,同时设置symbols。 如果之前下载过windows的symbols就直接设置symbols path: (windows和程序的pdb) 例如:C:\Symbols;E:\work\技术分享\dump分析\1115服务器无响应dump\gsss\gssssvr 如果之前没有下载过windows的s...
VS2005中SetUnhandledExceptionFilter函数应用
Richard的专栏
10-24 1686
很多软件通过设置自己的异常捕获函数,捕获未处理的异常,生成报告或者日志(例如生成mini-dump文件),达到Release版本下追踪Bug的目的。但是,到了VS2005(即VC8),Microsoft对CRT(C运行时库)的一些与安全相关的代码做了些改动,典型的,例如增加了对缓冲溢出的检查。新CRT版本在出现错误时强制把异常抛给默认的调试器(如果没有配置的话,默认是Dr.Watson),而不再通
SetUnhandledExceptionFilter
weixin_33816300的博客
01-28 145
现在有好多壳用 SetUnhandledExceptionFilter 安装了最后异常处理例程来愚弄 Ollydbg, 一开始确实难倒了我等菜鸟, 幸好后来有位俄罗斯高人写了个插件, 解决了这个问题, 但一直想知道原因. 最近抽空把 Hume 大侠的 SEH 文章反反复复看了好几遍, 又看了插件的 README, 总算有点明白了. 把他写出来, 请各位大侠看看, 多多指点.(...
配合UnhandledExceptionFilterEx()实现崩溃后自动重启
秋月的私语
07-05 602
使用函数UnhandledExceptionFilterEx()捕捉崩溃,在崩溃前重启程序。 函数 int RestartProcess(bool bNormal = false); 中默认参数bNormal用于控制崩溃之后是否自动结束程序,具体可以自测。 #include "MiniDump.h" #include <windows.h> #include <ima...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值