Windows x64为动态代码添加unwind信息

已于 2023-10-07 15:04:55 修改
阅读量813 收藏
点赞数
分类专栏: 调试器里看世界 文章标签: windows
于 2021-11-14 14:28:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43787608/article/details/121316679
版权

Windows x64为动态代码添加unwind信息

0x00

64位程序的堆栈回溯与32位差别很大,调试器和 RtlCaptureStackBackTrace 无法再使用 ebp 链来遍历整个堆栈,而只能使用 prolog信息来回溯堆栈。正常的C/C++函数的prolog信息在编译时候生成并记录在PE64文件的unwind信息中,另外当前函数对应的异常处理函数也添加在unwind信息的尾部。所以对于不存在unwind信息的函数,异常处理流程无法找到其异常处理函数,也很可能无法正常展开堆栈找到其调用者,从而找到上层的异常处理函数,从而跳过SEH的处理链,导致抓取异常失败。最终结果是程序崩溃了,但是没有留下任何痕迹。这里之所以说很可能,是因为x64的堆栈做展开时还是有一定容错性的,具体可以参看之前的文章: windows x64异常分发流程
因此对于很多手写汇编,会发现崩溃但是不能正常生成dump的情况,这样对查BUG影响很大。
当然对手写汇编的unwind 信息的添加还是比较简单的,以 MASM汇编器为例,可以通过添加 .PUSHREG, .ALLOCSTACK 来告诉汇编器对应的堆栈操作,具体可见 Directives Reference。当然在手写汇编的过程中,一定要遵循x64 prolog规范,否则展开还是会出错,具体可以参考 x64 software conventions
对于编译好的函数,我们可以在windbg中使用 .fnent 命令查看其unwind信息。以kernelbase!ReadFile为例,以下是其unwind信息:
在这里插入图片描述

0x01

对于动态生成的代码,我们无法使用手写汇编的方法生成unwind信息。这里有两个方法可以比较容易地实现unwind信息的生成。
第一种就是依照 x64 exception handling的描述,手动构造结构体。一般来说,只要不是太复杂的prolog,都比较简单可以实现。
另一种方法比较讨巧,很多时候我们生成的动态代码都有一个基础的汇编代码在。动态代码的构造首先从基础的汇编代码复制而来,之后修改其中的几个变量,从而形成新的代码。这种一般在hook引擎中使用的比较多。对于这种情况,我们可以根据第一节内容为基础汇编添加unwind信息,之后再拷贝给动态代码使用。
以下是为 easyhook 动态代码添加的unwind信息的代码:

typedef union _UNWIND_CODE {
    struct {
        UCHAR CodeOffset;
        UCHAR UnwindOp : 4;
        UCHAR OpInfo : 4;
    };
    USHORT FrameOffset;
} UNWIND_CODE, * PUNWIND_CODE;

typedef struct _UNWIND_INFO {
    UCHAR Version : 3;
    UCHAR Flags : 5;
    UCHAR SizeOfProlog;
    UCHAR CountOfCodes;
    UCHAR FrameRegister : 4;
    UCHAR FrameOffset : 4;
    // For alignment purposes, this array always has an even number of entries, and the final entry is potentially unused
    UNWIND_CODE UnwindCode[1];
} UNWIND_INFO, * PUNWIND_INFO;

static void StopMe() {}

static EXCEPTION_DISPOSITION JustContinueSearch(PEXCEPTION_RECORD ExceptionRecord, ULONG64 EstablisherFrame, PCONTEXT ContextRecord, PDISPATCHER_CONTEXT DispatcherContext) {
	return ExceptionContinueSearch;
}

static void StopMeToo() {}

UCHAR GetUnwindCodeArrayCnt(UCHAR uc)
{
    return ((uc + 1) >> 1) << 1;;
}

ULONG GetUnwindInfoLength(DWORD64 dwImageBase,PRUNTIME_FUNCTION pFuncEntry)
{
    if (!pFuncEntry) return 0;
    PUNWIND_INFO pInfo = (PUNWIND_INFO)(dwImageBase + pFuncEntry->UnwindInfoAddress);

    ULONG ulSum = FIELD_OFFSET(UNWIND_INFO, UnwindCode);
    __try {
        UCHAR cnt = GetUnwindCodeArrayCnt(pInfo->CountOfCodes);
        ulSum += cnt * sizeof(UNWIND_CODE);
        ulSum += sizeof(ULONG) * 2;
    }
    __except (EXCEPTION_EXECUTE_HANDLER) {
        return 0;
    }

    return ulSum;
}

ULONG GetExceptionFuncLength()
{
    auto dwSM = (DWORD64)StopMe;
    auto dwSM2 = (DWORD64)StopMeToo;
    auto excpFunc = (DWORD64)JustContinueSearch;

    DWORD dwDiff = 0;
    if (dwSM > excpFunc) {
        dwDiff = dwSM - excpFunc;
    }
    else if (dwSM2 > excpFunc) {
        dwDiff = dwSM2 - excpFunc;
    }
    if (!dwDiff || (dwDiff > 0x20)) {
        return 0x20;
    }
    return dwDiff;
}

void LhBuildUnwindInfoForTrampoline(LOCAL_HOOK_INFO* pHook,unsigned char* uc,int nSize)
{
#ifndef _WIN64
    return;
#endif

    if (!uc || !nSize) return;

    if (!pHook || !pHook->Trampoline) {
        return;
    }

    DWORD64 dwImageBase = 0;

    auto pOriFuncEnt = RtlLookupFunctionEntry((ULONG_PTR)GetTrampolinePtr(), &dwImageBase, nullptr);
    if (!pOriFuncEnt) {
        return;
    }

	DWORD64 dwPreImageBase = 0;
	auto pFuncEntry = RtlLookupFunctionEntry((ULONG_PTR)pHook->Trampoline, &dwPreImageBase, nullptr);
	if (pFuncEntry) {
		RtlDeleteFunctionTable(pFuncEntry);
	}

    auto nLen = GetUnwindInfoLength(dwImageBase,pOriFuncEnt);
    if (!nLen) return;

    //ImageBase is pHook
    auto nTotalSize = sizeof(RUNTIME_FUNCTION) + nLen + GetExceptionFuncLength() + 10;//padding 10 bytes to
    if (nTotalSize > nSize) return;
    memset(uc, 0, nTotalSize);

    PRUNTIME_FUNCTION pRF = (PRUNTIME_FUNCTION)uc;
    PUNWIND_INFO pInfo = (PUNWIND_INFO)(pRF + 1);
    pRF->BeginAddress = (DWORD64)pHook->Trampoline - (DWORD64)pHook;
    pRF->EndAddress = pRF->BeginAddress + GetTrampolineSize();
    pRF->UnwindInfoAddress = (DWORD64)pInfo - (DWORD64)pHook;

    PUNWIND_INFO pOriUnwindInfo = (PUNWIND_INFO)(dwImageBase + pOriFuncEnt->UnwindInfoAddress);
    memcpy(pInfo, pOriUnwindInfo, FIELD_OFFSET(UNWIND_INFO, UnwindCode) + pOriUnwindInfo->CountOfCodes * sizeof(UNWIND_CODE));
    auto nIdx = FIELD_OFFSET(UNWIND_INFO, UnwindCode) + GetUnwindCodeArrayCnt(pOriUnwindInfo->CountOfCodes) * sizeof(UNWIND_CODE);
    auto pHandlerVA = (ULONG*)((unsigned char*)pInfo + nIdx);
    auto pExceptFunc = pHandlerVA + 2;
    *pHandlerVA = (ULONG)((DWORD64)pExceptFunc - (DWORD64)pHook);
    *(pHandlerVA + 1) = 1;
    memcpy(pExceptFunc, JustContinueSearch, GetExceptionFuncLength());

    pInfo->Flags |= UNW_FLAG_EHANDLER;

    RtlAddFunctionTable(pRF, 1, (DWORD64)pHook);
}

对以上代码有几个点需要解释下:

  1. 从第一节列出的文档中可以知道,unwind信息是包含在RUNTIME_FUNCTION之中的,所以我们也要填充RUNTIME_FUNCTION结构;
  2. RUNTIME_FUNCTION 与 unwind信息中的地址都是VA与ImageBase的差值,并且差值要可以用DWORD表示。其中ImageBase我们可以随便定,只要其小于所有我们需要索引的结构的地址即可,并且在 RtlAddFunctionTable 第三个参数中传入ImageBase地址。由此,我们只要分配足够容纳动态代码,RUNTIME_FUNCTION ,unwind信息等的Buffer,并将其首地址作为ImageBase使用即可。LhBuildUnwindInfoForTrampoline中第一个参数就是这个作用;
  3. LhBuildUnwindInfoForTrampoline中的第二个参数是存放RUNTIME_FUNCTION与unwind信息的起始地址,其在ImageBase代表的buffer范围之内;第三个参数是uc可用的最大的长度;
  4. GetTrampolinePtr()返回手写汇编的地址,对其调用 RtlLookupFunctionEntry 可以获取其 RUNTIME_FUNCTION 信息,从而可以将其拷贝到我们构造的 RUNTIME_FUNCTION 中;
  5. GetUnwindCodeArrayCnt返回值都是偶数,这个是prolog规范要求的,具体可以见第一节的链接。
应该是只菜鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows x64异常分发流程
weixin_43787608的博客
06-15 2675
0x00 对windows比较熟悉的同学应该都知道SEH这个概念,我们可以通过SEH来来捕获异常,之后决定怎么处理。 具体的内容可以查看:https://bbs.pediy.com/thread-173853.htm 在上面的文章中,少讲了VCH。 我们根据异常的分发流程,在没有挂上调试器的情况下,异常会先被路由到veh,之后进入seh。那么就存在一个很严重的问题,seh是针对特定线程的特定函数的...
xUnwind:xUnwind是Android本机堆栈展开解决方案的集合
05-05
放松 xUnwind是Android本机堆栈展开解决方案的集合。 特征 通过以下方式支持平仓: CFI(呼叫框架信息):由Android系统库提供。 EH(异常处理GCC扩展):由编译器提供。 FP(帧指针):仅ARM64。 支持从以下方面平息: 当前执行位置。 指定的上下文(可以从信号处理程序获得)。 支持展开流程: 本地过程。 远程过程:仅CFI。 支持展开线程: 当前线程。 指定的线程:仅CFI。 所有线程:仅CFI。 提供java方法以直接在Java代码中获取本机回溯。 支持Android 4.1-11(API级别16-30)。 支持armeabi-v7a,arm64-v8a,x86和x86_64。 麻省理工学院许可。 用法 1.在build.gradle中添加依赖项 xUnwind在上发布,并使用软件包格式来满足, 支持该格式。 allpro
获取调用栈信息的函数RtlCaptureStackBackTrace()
pureman_mega的博客
01-08 4837
这是一个导出函数,使用时必须试探页面产生异常的能力(probe the ability to take page fault)—(翻译 ddk文档)。USHORT //返回捕捉到的结构数 RtlCaptureStackBackTrace( __in ULONG FramesToSkip, __in ULONG FramesToCapture, __out_ecount
undefined reference to `_Unwind_Resume'
零下一度
12-07 6770
 最近在编译TAO的时候遇到了个问题,在redhat as3上可以顺利编译,但是在redhat as4上会出现undefined reference to `_Unwind_Resume的错误。在网上搜索了一下说是编译器的问题,需要加上一个编译参数“-Wl,-Bdynamic -lgcc_s”,但却没说怎么加。让我这菜鸟郁闷半天,不过还好终于解决了,具体的方法就是编辑.bash_profile配
深入理解Windows X64调试
weixin_30686845的博客
08-28 863
随着64位操作系统的普及,都开始大力进军x64X64下的调试机制也发生了改变,与x86相比,添加了许多自己的新特性,之前学习了Windows x64的调试机制,这里本着“拿来主义”的原则与大家分享。 本文属于译文,英文原文链接:http://www.codemachine.com/article_x64deepdive.html 翻译原文地址:深入Windows X64 调试 在正式开始这...
Windows x86/ x64 Ring3层注入Dll总结
09-30
Windows x86/x64 Ring3层注入Dll总结】 在Windows操作系统中,Ring3层指的是用户模式,这是应用程序运行的层次。Dll注入是一种技术,它允许一个进程将自己的代码(通常是一个动态链接库,Dll)注入到另一个进程中...
Windows环境下32位汇编语言程序设计_随书光盘
06-19
安装及开发的操作系统建议采用32位的Windows 7,在64位操作系统 上安装 MASM32 软件包,安装生成的Lib文件可能不兼容。 安装完成以后请将本光盘根目录下的环境设置批处理文件Var.bat 拷贝到 Masm32\bin 目录下,并...
Unwind Library Project-开源
07-17
《Unwind Library Project:开源异常处理的基石》 在计算机科学的世界里,异常处理是程序设计中的重要一环,尤其是在C语言这样的系统级编程语言中。C语言虽然强大且高效,但其原生并不支持异常处理机制。为了解决这...
Windows环境下32位汇编语言程序设计(最新琢石成器版)附属光盘
03-01
Windows环境下32位汇编语言程序设计 第2版(罗文斌) 完整光盘内容,包含每章内容的完整代码 本光盘所包含目录的说明 根目录下的 *.pdf ;附录A、B、C的电子版文档 Chapter02\Test ;测试编译环境 Chapter03\Hello...
Unwind_hotel
03-20
8. **注释**:在代码添加`<!-- 注释内容 -->`可以帮助开发者理解代码的作用,特别是对于多人协作的项目。 9. **验证和调试**:使用W3C的HTML验证器检查代码的语法和语义错误是最佳实践,这有助于确保浏览器正确...
【Android 逆向】x86 汇编 ( 使用 IDA 解析 x86 架构的动态库文件 | x86 汇编语言分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-12 1168
x86 汇编语言分析
SEH分析笔记(X64篇)
FrankieWang008的专栏
12-18 6782
SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本。 [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文的原始稿,一样的内容,更好的高亮和排版。 本文的部分代码可能会因为论坛的自动换行变得很乱,需要的朋友手动复制到自己的代码编辑器就可以正常显示了] 在之前的《SEH分析笔记(
SEH X64(2)
商少
05-26 1534
上一篇文章,我们介绍X64 SEH 操作所需要的操作,与X86相比,它是静态的并且这些静态信息足够用于展开操作,下面我们来分析展开操作相关的函数。 首先来看异常的分发函数。这里的调用流程其实跟X86 SEH 类似,KiDispatchException--->RtlDispatchException---->RtlpExecuteHadnlerForException。KiDispatchExc
ntdll函数逆向
qq_41490873的博客
06-16 1181
RtlEncodePointer :该函数的作用是把传进来的值和进程的指定信息进行异或 然后返回该值 .text:7C9333DF __stdcall RtlEncodePointer(x) .text:7C9333DF public _RtlEncodePointer@4 .text:7C9333DF _RtlEncodePointer@4 proc near ; CODE XREF: RtlDecodePointer(x)+6↓j .text:7C
Windows异常世界历险记(一)——Windows系统用户级结构化异常处理机制(SEH)的基础知识和Unwind展开操作
LPWSTR的博客
12-04 1359
Windows系统的用户级结构化异常处理机制(SEH)是基于线程的,因此可为不同的线程指派不同的异常处理函数。且由于其形成了链结构,还可据此为一个线程指定多个异常处理函数,异常发生后,操作系统会沿此链表调用各异常处理函数,直到某个异常处理函数修复了该异常或已达末尾。通常处理完异常后,需要执行展开(Unwind)操作,该操作先通知目标结点前的各异常处理函数释放资源,然后将之前的SEH链全部删除。
X64 SEH的展开
nethm的专栏
12-08 1840
C++ 代码: #include "stdafx.h" #include ULONG WINAPI FilterFunc(DWORD dwExceptionCode) { return (dwExceptionCode == STATUS_INTEGER_DIVIDE_BY_ZERO) ? EXCEPTION_EXECUTE_HANDLER : EXCEPTION_CONTINUE_SE
WinNT.h
it技术学习
04-22 5108
/*++ BUILD Version: 0066     Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. Module Name:     winnt.h Abstract:     Thi
mongoDB的$unwind
最新发布
07-10
在MongoDB中,$unwind是一个用于展开数组字段的操作符。它将包含数组的文档拆分为多个文档,每个文档只包含一个数组元素。这对于对数组字段进行聚合操作非常有用。 $unwind操作符的语法如下: ``` { $unwind: <arrayField> } ``` 其中,`<arrayField>`是要展开的数组字段的名称。 下面是一个示例,假设有一个集合"orders",其中包含一个名为"products"的数组字段。我们可以使用$unwind操作符来展开该数组,并对每个产品进行操作: ``` db.orders.aggregate([ { $unwind: "$products" }, { $project: { _id: 0, products: 1 } } ]) ``` 上述代码将展开"products"数组字段,并仅返回"products"字段。通过这个操作,我们可以对每个产品进行进一步的聚合操作或其他数据处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值