4.VEH(向量化异常处理)

最新推荐文章于 2021-12-08 10:13:57 发布
最新推荐文章于 2021-12-08 10:13:57 发布
阅读量6.8k 收藏 9
点赞数
分类专栏: 异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42052102/article/details/83540134
版权

当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。

这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。

(ntdll.dll) KiUserExceptionDispatcher函数分析

  1. 调用 RtIDispatchException 查找并执行异常处理函数
  2. 如果 RtIDispatchException 返回真,调用 ZwContinue 再次进入0环,但线程再次返回3环时,会从修正后的位置开始执行。
  3. 如果 RtIDispatchException 返回假,调用 ZwRaiseException 进行第二轮异常分发

在这里插入图片描述
RtlDispatchException是个库函数,内核调用与用户调用的是不一样的。

RtIDispatchException函数分析

在这里插入图片描述

  1. 查找VEH链表 (全局链表) ,如果有则调用0
  2. 查找SEH链表 (局部链表,在堆栈中) ,如果有则调用

无论那一条线程出现了异常都会先找VEH因为他是全局的,如果VEH链表中没有才会找SEH。

VEH异常的处理流程

  1. CPU捕获异常信息
  2. 通过KiDispatchException进行分发(EIP=KiUserExceptionDispatcher)
  3. KiUserExceptionDispatcher调用RtIDispatchException.
  4. RtIDispatchException查找VEH处理函数链表并调用相关处理函数
  5. 代码返回到KiUserExceptionDispatcher
  6. 调用ZwContinue再次进入0环(ZwContinue调用NtContinue,主要作用就是恢复 TRAPFRAME然后通过_KiServiceExit返回到3环)。
  7. 线程再次返回3环后,从修正后的位置开始执行
    8. </
最低0.47元/天 解锁文章
My classmates
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于VEH&调试寄存器实现无痕HOOK(5)
m0_64973256的博客
12-30 2512
Windows操作系统中存在多种异常处理,我们现在需要的是其中的VEH
VFB组件:VEH控件(异常)
yfvb2010的专栏
12-30 419
这是功能控件,用于捕捉异常, 向量化异常处理,当程序发生崩溃后执行的代码。 编写过软件都知道,软件发生崩溃很难避免,当软件发生崩溃后,软件就突然消失了,当安装过VC等编程软件后,系统会提示异常,比如: 而我们则做不了任何事情,有了VEH控件 ,发生这样的事情后,就会执行我们自己的代码 此时我们可以做保存啊,之类的代码,还可以获取寄存器的值,用于汇编调试。 VFB工具菜单里,已经带有 汇编调试器 在工程属性里,保存代码地图,那么可以根据崩溃地址,从地图上找到是处于那个函数里面...
Windows异常学习笔记(三)—— VEH&SEH
qq_41988448的博客
01-11 1407
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
异常处理 VEH
dearbaba_11的博客
07-23 83
异常处理 VEH
向量化异常处理程序 继续处理程序 veh 例子
whitehack的专栏
03-22 8437
<br /> <br />继续处理程序不知为何 竟然不触发!<br /> <br />#include <WindowsX.h> #include <atlstr.h> //可以用 cstring了 #include <stdio.h> #include <locale> #include <CommCtrl.h>//windows通用控件接口 LPTOP_LEVEL_EXCEPTION_FILTER pprev=NULL; // Returns the HMODULE that contain
Windows异常处理
liaozhilong88的博客
01-18 563
异常机制,就是为了让计算机能够更好的处理程序运行期间产生的错误,从编程的角度来看,能够将错误的处理与程序的逻辑分隔开。使得我们可以集中精力开发关键功能,而把程序可能出现的异常统一管理。 Windows提供了异常处理的机制,使得你有机会挽救自己即将崩溃的程序,大体上来说它提供了以下处理异常的机制: SEH-结构化异常处理 VEH-向量化异常处理 VCH-向量化异常处...
delphi 调试控件代码_Julia发布全功能调试器,多种姿势debug
weixin_39593523的博客
11-23 109
铜灵 编译整理量子位 出品 | 公众号 QbitAIJulia这门语言,因为集合了C语言的速度、Ruby的灵活、Python的通用于一身,获得了万千程序员的喜爱。福利来了~Julia团队又发布了新的全功能调试器,可以以多种姿势调试代码,节省你的工作量。有了这个新调试器的加持,你可以用Julia完成此前达不到的惊奇效果,包括:直接进入函数并手动运行代码,同时检查它的状态设置断点(breakpoint...
易语言源码易语言向量化异常处理.rar
03-31
向量化异常处理(Vectorized Exception Handling,VEH)是Windows平台上的一个特性,它允许程序员在代码执行期间设置异常处理程序,以捕获并处理运行时发生的异常。在易语言中,这一机制可以帮助开发者更有效地管理...
sehveh_hook:具有结构化和向量化异常处理的挂钩函数
06-12
向量化异常处理(Vectorized Exception Handling,VEH)是另一种Windows上的异常处理机制,它支持处理器级别的异常,如浮点运算错误。与SEH不同,VEH是针对硬件异常的,并且处理速度更快。`sehveh_hook`库可能提供了...
Windows XP中的新型向量化异常处理 Understanding SEH Exploitation
11-15
Windows XP中的新型向量化异常处理(中文) 原名:New Vectored Exception Handling in Windows XP 作者:Matt Pietrek Understanding SEH Exploitation(英文) By Donny Hubener July 6, 2009
易语言内存写入监视
07-22
易语言内存写入监视源码,内存写入监视,ExceptionHandler,Dump,PreviousOpcode,查看字节集,asm_Write,AddVectoredExceptionHandler,RemoveVectoredExceptionHandler,RtlMoveMemory_整数型,RtlMoveMemory_EXCEPTION_RECORD,RtlMoveMemory_CONTEXT,RtlMoveMemory
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4294
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
VEH和SEH
鬼手的博客
02-16 3895
文章目录VEHKiUserExceptionDispatcher函数分析代码实现添加VEH异常处理函数VEH异常的处理流程SEHExceptionListRtlDispatchException函数的执行流程代码实现添加SEH异常处理函数SEH异常的处理流程 VEH 当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接处理,而是修正3环EIP为KiUs...
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1065
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
26种对付反调试的方法
weixin_34235371的博客
05-15 4499
2019独角兽企业重金招聘Python工程师标准>>> ...
异常与调试之SEH、UEH、VEH、VCH以及SEH的区别总结——简单好理解
TCP_321的博客
12-08 6336
1.VEH (向量异常) // VEH: 向量化异常处理的一种,被保存在一个全局的链表中,进程内的所有线程都可 // 以使用这个函数,是第一个处理异常的函数。 异常处理函数: LONG NTAPI AddVectoredExceptionHandler( _In_UlON First, 异常处理函数被调用的顺序 _In_PVECTORED_EXECUTE_HANDLER Handler 异常处理回调函数 ) AddVectoredExceptionHandler(TRUE...
2.内核异常处理流程
My classmates
10-29 1434
用户层异常与内核层异常 异常可以发生在用户空间,也可以发生在内核空间。 无论是CPU异常还是模拟异常,是用户层异常还是内核异常,都要通过 KiDispatchException函数进行分发,这个函数比较复杂。 VOID KiDispatchException ( ExceptionRecord, ExceptionFrame, TrapFrame, PreviousMode, First...
无痕HOOK方式=硬断+VEH
热门推荐
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
VEH,VCH,UEF Windows向量化异常处理机制详解
MyCserSoft的专栏
06-22 5764
最近在搞的SR,因为涉及到Windows下的异常处理机制
SELECT * FROM ( SELECT TMP_PAGE.*, ROWNUM ROW_ID FROM ( SELECT tt.ID, tt.VIN, tt.AON, tt.MSC, tt.VEH_CLSCRQ, tt.COLOR_CODE, tt.VEH_ZCHGZBH, tt.VEH_WZHGZBH, tt.VEH_FZRQ, tt.FRIST_PRINT_DATE, tt.VEH_CLZZQYMC, tt.VEH_CLPPMC, tt.IFLOCK, tt.UP_SYNCSTATE, tt.VEH_CLXH, tt.IS_SAMPLE, ta.XNYC AS XNYC, SUBSTR( VIN, 8, 1 ) AS DLLX, T_DLLX.NAME AS DLLXNAME FROM T_VEHCERT_PRINT tt LEFT JOIN T_ALL_PARAM ta ON tt.MSC = ta.MSC LEFT JOIN T_DLLX ON SUBSTR( VIN, 8, 1 ) = T_DLLX.CODE WHERE XNYC = '否' AND IFLOCK = '0' AND UP_SYNCSTATE ='1' ORDER BY frist_print_date DESC ) TMP_PAGE WHERE ROWNUM <= '10' ) WHERE ROW_ID > '0'这段sql查询半天都查不出结果
最新发布
06-07
这段 SQL 查询语句的目的是从 T_VEHCERT_PRINT 表中选择一些列,并将它们与其他表连接,然后按照 frist_print_date 字段降序排序。然后,它将结果限制为前 10 行,并为每一行分配一个 ROW_ID。最后,它选择所有 ROW_ID 大于 0 的行。 如果这段 SQL 查询半天都查不出结果,可能是因为没有符合条件的数据存在。您可以检查 WHERE 子句中的条件是否正确,并检查表中是否存在与这些条件匹配的数据。此外,您还可以查看数据库日志,以查找是否存在任何错误或异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值