用C实现SEH的例子&如何跟进SEH

最新推荐文章于 2021-05-17 10:51:22 发布
最新推荐文章于 2021-05-17 10:51:22 发布
阅读量139 收藏
点赞数
原文链接:http://www.cnblogs.com/feiyucq/archive/2010/05/12/1733462.html
版权
ExpandedBlockStart.gif 代码
#include  < windows.h >
#include  < stdio.h >  
DWORD scratch; 
typedef  struct  _MYCONTEXT {
    DWORD ContextFlags;
    DWORD   Dr0;
    DWORD   Dr1;
    DWORD   Dr2;
    DWORD   Dr3;
    DWORD   Dr6;
    DWORD   Dr7;
    FLOATING_SAVE_AREA FloatSave;
    DWORD   SegGs;
    DWORD   SegFs;
    DWORD   SegEs;
    DWORD   SegDs;
    DWORD   Edi;
    DWORD   Esi;
    DWORD   Ebx;
    DWORD   Edx;
    DWORD   Ecx;
    DWORD   Eax;
    DWORD   Ebp;
    DWORD   Eip;
    DWORD   SegCs;               //  MUST BE SANITIZED
    DWORD   EFlags;              //  MUST BE SANITIZED
    DWORD   Esp;
    DWORD   SegSs;
    BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];

} MYCONTEXT;
EXCEPTION_DISPOSITION
__cdecl
_except_handler(  struct  _EXCEPTION_RECORD  * ExceptionRecord,
                 void   *  EstablisherFrame,
                 struct  _CONTEXT  * ContextRecord,
                 void   *  DispatcherContext )
{
    printf(  " Hello from an exception handler\n "  );
    MYCONTEXT  *  mContext;
    mContext = (MYCONTEXT  * )ContextRecord;
    mContext -> Eax = (DWORD) & scratch;
     // ContextRecord->Eax = (DWORD)&scratch;  // 这个地方VC 6.0不能正确提示处EAX,所以自己定义了一个context结构MYCONTEXT
     return  ExceptionContinueExecution; 

 int  main()
{
    DWORD handler  =  (DWORD)_except_handler; 
    __asm
    { 
        push handler  //  handler函数的地址
        push FS:[ 0 //  前一个handler函数的地址
        mov FS:[ 0 ],ESP  //  安装新的EXECEPTION_REGISTRATION结构
    } 
    __asm
    {
        mov eax, 0       //  将EAX清零
        mov [eax],  1   //  写EAX指向的内存从而故意引发一个错误
    } 
    printf(  " After writing!\n "  ); 
    __asm
    { 
         //  移去我们的EXECEPTION_REGISTRATION结构
        mov eax,[ESP]     //  获取前一个结构
        mov FS:[ 0 ], EAX  //  安装前一个结构
        add esp,  8         //  将我们的EXECEPTION_REGISTRATION弹出堆栈
    } 
     return   0

通过对以上SEH例子的分析发现使用OD调试SEH的方法,步骤如下:

1.在OD的调试选项-》异常选单里把忽略的异常全部去掉

2.OD中F9,让程序跑起来,如果有非法访问内存之类异常的话OD会中断

3.在发生异常的那一句设断点,然后在OD的调试选项-》异常选单里忽略所有异常

4.重新载入程序,F9运行到断点处,F8跟进,会进入系统领空,即NT.DLL

5.依次跟进NT.DLL的第1、5、1、1个call,就进入了用户自定义的异常处理了,最后一个call为 call ecx(由于windows版本的不同,这个call的顺序应该不完全一致)

6.看看异常处理的内容吧!

转载于:https://www.cnblogs.com/feiyucq/archive/2010/05/12/1733462.html

weixin_34380296
关注
【VS开发】关于SEH的简单总结
ZhangPY的专栏
05-21 3929
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著   董岩 译
深入解析结构化异常处理(SEH)
CherishPrecious的博客
08-16 462
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变: http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著   董岩 译   在Win32操作系统...
SEH源码赏析之C篇
05-16 2174
1.起因    C++程序员对try,catch,throw都应该很熟悉,能知道VC怎么实现它的人就不多了,不过网络世界使很多人知道了它与SEH (structured exception      handling)有密切关系,我也不例外,也是在若干年前从网络知道了SEH,并且大致也知道 SEH的流程.但是和多数人一样在我的实践也很少直接使用SEH,对SEH也就仅限于网络上一些文章的介绍.曾经在
SEH结构化(c语言)异常模型
weixin_30800987的博客
05-07 216
从本篇文章开始,将全面阐述__try,__except,__finally,__leave异常模型机制,它也即是Windows系列操作系统平台上提供的SEH模型。将在这里与大家分享SEH( 结构化异常处理)的学习过程和经验总结。 深入理解请参阅<<windows 核心编程>>第23, 24章. string stdformat(const char *fmt, ...
SEH 的机制的实现
xum2008的专栏
11-12 866
 struct EXCEPTION_REGISTRATION { EXCEPTION_REGISTRATION *prev; DWORD handle; };  EXCEPTION_DISPOSITION __cdecl _except_handler ( struct _EXCEPTION_RECORD *_ExceptionRecord, void * _E
SEH 可以在 C++ 程序中使用
hbrr224的专栏
05-11 2132
转载自http://blog.programfan.com/article.asp?id=9864首先声明的是, C++ 中的异常处理机制是建立在 Windows 平台上的 SEH 机制之上,所以 SEH 当然可以在 C++ 程序中使用。不过“阿愚”多次强调过,我们平常一般狭义上的 SEH 都是指 try-except 和 try-finally 异常机制,而它们是给 C 语言( VC 环境)
SEH 技术实现 API Hook
03-25 907
SEH 技术实现 API Hook(作者:罗聪) 下载本节例子程序和源代码 (5.21 KB) 阅读本文之前,我先假设读者已经知道了 SEH 和 API Hook 的基本概念,因为我不打算在此进行扫盲工作。什么?你不懂什么叫 SEH 和 API Hook ?那……先去找点资料看看吧,到处
C++异常处理之大全,包括SEH,CRT函数,打印堆栈等相关知识
06-07
本文将深入探讨C++异常处理的各个方面,包括结构化异常处理(SEH)、C运行时库(CRT)函数以及如何打印调用堆栈。这些知识对于编写健壮的C++代码至关重要。 首先,我们来了解一下结构化异常处理(SEH)。SEH是...
X64 SEH的展开
nethm的专栏
12-08 1890
C++ 代码: #include "stdafx.h" #include ULONG WINAPI FilterFunc(DWORD dwExceptionCode) { return (dwExceptionCode == STATUS_INTEGER_DIVIDE_BY_ZERO) ? EXCEPTION_EXECUTE_HANDLER : EXCEPTION_CONTINUE_SE
SEH不起作用的问题跟踪
demoscene的专栏
04-14 1173
关建词 _except_handler4、_except_handler3、_ValidateEH3RN 问题: 写了一个程序(shell,你懂的),发现SEH捕捉不到异常,网上搜了一下没找到相关内容,下面的代码是为了写文章简单写的例子代码 __try { _asm int 3; } __except(1) { printf("except\r\n"); }
c语言程序崩溃前善后工作,[Visual C++语言参考]结构化异常处理(SEH)
weixin_39989384的博客
05-17 199
Windows 95 、 Windows 98 和 Windows 2000(以前的Windows NT)支持一种健壮的处理程序异常的方法,称之为"结构化异常处理(SEH)",这种方法与操作系统密切相关,同时直接在编程语言中被支持。[微软编译器特定]语法:try-except语句:__try{//程序代码}__except(表达式){//程序代码}try-except和try-finally语句是...
C++中使用SEH
weixin_34253126的博客
06-29 787
Alt+F7 => C++ => Code Generation => Enable C++ Exception,选择”Yes with SHE Exceptions” 另外,用VS2005编译驱动的时候,如果使用SEH,可能会把kernel32.dll link到驱动里。这样讲导致驱动不能正常加载。 简单的办法是: Alt+F7 => Linker => In...
手动设置SEH
weixin_30896825的博客
03-09 297
转载至 http://bbs.pediy.com/showthread.php?t=46690 一般情况下我们在 VS2005以上都不能手动设置SEH异常处理函数 因为有 SafeSEH 保护 但是可以将保护的SEH验证给篡改掉 也就是将 系统的SEH函数JMP我们的异常函数地址 如下: #include "stdafx.h" #include <Windows.h...
SEH 代码实例
姚银的专栏
07-11 857
实例1: int UnderstandSeh() { int dwTemp = 0; while (dwTemp { __try { if (2 == dwTemp) { continue; } if (3 == dwTemp) { break; } } __finally { dwTemp++; } dwTemp++; } dwTemp+=
[引用]SEH原理
010101的思绪
01-17 3740
原文引用自:http://hi.baidu.com/slaff/blog/item/c6d96d4c0ba180fad72afcb7.htmlSEH研究 不少菜菜在编写ASM程序时往往会不太稳定。然而一旦熟悉了WINDOWS SEH原理后,再回过头编写相应的软件后发现不再会弹出讨厌的警告框了。此外,SEH还被广泛应用于反跟踪以及加解密中。工欲善其事,必先利其器,学习SEH的重要性不言而喻了
vc++6对windows SEH扩展分析 一文拾遗
lixiangminghate的专栏
08-12 974
前一篇文章vc++6对windows SEH扩展分析 尚有遗漏,本篇加以补齐。     其实本文参考csdn上一篇名为,同时提出了一些质疑。   作者罗列了vc++6.0扩展的SEH节点的结构如下: struct _EXCEPTION_REGISTRATION    {      struct _EXCEPTION_REGISTRATION *prev;      void (*handle
vc++6对windows SEH扩展分析
lixiangminghate的专栏
08-11 953
相传FS:[0]指向线程的异常处理链表。汇编高手们为了向链表中添加异常处理节点,通常会如下编码: push ExceptHandler 1) mov eax,fs:[0] 2) push eax 3) mov fs:[0],esp 4)    真是简单的4句话,够小鸟们领悟半天了。首先看异常处理块的定义: struct EXCEPTION_REGIS
使用 SEH 让进程崩溃的更加体面,并记录崩溃信息
LYSM
09-06 274
代码 #include <windows.h> #include <DbgHelp.h> #include<string.h> #include<iostream> #pragma comment( lib, "Dbghelp.lib" ) using namespace std; void CreateDumpFile(LPCWSTR lpstrDumpFilePathName, EXCEPTION_POINTERS* pException) { //
SEH的非常好的总结
w1012747007的专栏
08-12 4777
深入解析结构化异常处理(SEH) 尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变: http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Piet
Visual C/C++异常处理详解:C,C++,MFC与SEH对比
"这篇文章主要探讨了Visual C/C++中的异常处理机制,涵盖了C语言、C++语言、MFC以及微软的结构化异常处理(SEH)四种方式。异常处理是确保程序健壮性的重要手段,文章旨在介绍这些机制并进行对比分析。作者以Visual ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值