内核学习-异常

最新推荐文章于 2023-09-15 08:56:22 发布
最新推荐文章于 2023-09-15 08:56:22 发布
阅读量492 收藏 2
点赞数
文章标签: 数据库 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880501/article/details/121054554
版权

内核学习-异常

异常产生后,首先是要记录异常信息(异常的类型、异常发生的位置等),然后要寻找异常的处理函数,称为异常的分发,最后找到异常处理函数并调用,称为异常处理

围绕 异常处理异常分发异常处理展开

异常的分类:

(1)cpu产生的异常
在这里插入图片描述

代码执行时,CPU检测到除数为零,cpu抛出异常

(2)软件模拟产生的异常

在C++或者是C#等一些高级语言中,在程序需要的时候也可以主动抛出异常,这种高级语言抛出的异常就是模拟产生的异常,并不是真正的异常。

异常记录

1.CPU异常记录

1.CPU异常的处理流程

  1. CPU指令检测到异常(例:除零)
  2. 查IDT表(如下表),执行中断处理函数
  3. CommonDispatchException
  4. KiDispatchException

在这里插入图片描述

找中断表的0号处理函数,

截图百度百科:
在这里插入图片描述

IDA打开ntoskrnl.exe 搜索字符串 _IDT 进行定位

IDT表:

在这里插入图片描述

2.分析中断处理函数 _KiTrap00

执行流程

  1. 保存现场(将寄存器堆栈位置等信息保存到 _Trap_Frame 中)
  2. 调用CommonDispatchException函数

4018c7函数:没有对异常进行处理,函数内部调用CommonDispatchException函数

CommonDispatchException函数内部调用**_KiDispatchExceptio**,CPU这么设计的目的是为了让程序员有机会对异常进行处理。

总结

  1. 异常处理函数中并没有直接对异常进行处理,而是调用了CommonDispatchException
  2. 这样设计异常的目的是为了程序员有机会对异常进行处理

3.CommonDispatchException函数分析

该函数构造一个_EXCEPTION_RECORD结构体 并赋值

CommonDispatchException主要就做了一件事情,就是将异常相关的信息存储到一个_EXCEPTION_RECORD结构体里,这个结构体的作用就是用来记录异常信息

type struct _EXCEPTION_RECORD		
{								
	DWORD ExceptionCode;				//异常代码
	DWORD ExceptionFlags;				//异常状态
	struct _EXCEPTION_RECORD* ExceptionRecord;	//下一个异常
	PVOID ExceptionAddress;				//异常发生地址
	DWORD NumberParameters;			//附加参数个数
	ULONG_PTR ExceptionInformation 
	[EXCEPTION_MAXIMUM_PARAMETERS];		//附加参数指针	
}

ebx中存储的是发生异常时的EIP,eax:0C0000094h ,这个是CPU自己在内部定义的异常代码

ExceptionFlags异常状态:通过异常状态可以区分是CPU产生的异常还是软件模拟产生的异常。所有的CPU产生的异常这个位置的值是0,所有软件模拟产生的异常这个位置存储的值是1,如果堆栈错误里面存储的值是8,如果出现嵌套异常,里面存储的值是0x10

ExceptionRecord下一个异常:通常是空的,但是出现嵌套异常,通过指针指向下一个异常。

4.总结

CPU异常的执行流程:

  1. CPU指令检测到异常
  2. 查IDT表,执行中断处理函数
  3. 调用CommonDispatchException(构建EXCEPTION_RECORD结构体
  4. KiDispatchException(分发异常:目的是为了找到异常处理函数)

2.模拟异常记录

示例代码:通过代码抛出异常 throw关键字

在这里插入图片描述

当通过软件抛出异常的时候,实际上就是调用了CxxThrowException

CxxThrowException调用(KERNEL32.DLL)RaiseException

RaiseException分析

在堆栈里构建一个EXCEPTION_RECORD结构体,然后对结构体进行赋值

CPU产生的异常和软件模拟产生的异常都填充EXCEPTION_RECORD结构体,但是两者有差异

差异:

ExceptionCode 异常代码

当CPU产生异常时会记录一个ErrorCode,通过查表可以查到ErrorCode具体的含义,不同的异常对应不同的错误代码,但是软件抛出的ErrorCode是根据编译环境决定的,如下图的EDX中存储的值即为当前编译环境的ErrorCode

ExceptionAddress 异常发生地址

第二个区别就是ExceptionAddress,CPU异常记录的位置是真正的异常发生时的地址

CPU记录异常的地址是真正发生异常的地址,软件模拟产生的异常里面存储的是RaiseException这个函数的地址。

RaiseException函数分析

RaiseException调用RtlRaiseException (ntdll.dll)

RtlRaiseException调用**_ZwRaiseException**

_ZwRaiseException调用NtRaiseException

NtRaiseException调用**_KiRaiseException**

这个函数主要做了两件事

  1. 把EXCEPTION_RECORD结构体的ExceptionCode最高位清零,用于区分CPU异常
  2. 调用KiDispatchException开始分发异常

img

RaiseException在初始化一个EXCEPTION_RECORD结构体之后,开始调用NTDLL中的RtlRaiseException; 之后,开始调用内核中NtRaiseException, NtRaiseException再调用另外一个内核函数KiRaiseException。接下来KiRaiseException会调用KiDispatchException开始异常的分发。

https://www.cnblogs.com/Winston/archive/2010/03/16/1687649.html

http://runxinzhi.com/Ox9A82-p-5374527.html

cpu异常和模拟异常只有在异常记录不同,调用KiDispatchException开始异常的分发后步骤都相同。

异常处理

3.内核层用户处理流程

异常可以发生在用户空间,也可以发生在内核空间。无论是CPU异常还是模拟异常,是用户层异常还是内核层异常,都要通过KiDispatchException函数进行分发。

VOID KiDispatchException(ExceptionRecord, ExceptionFrame,TrapFrame,PreviousMode, FirstChance)

(1)KiDispatchException函数分析

KiDispatchException函数执行流程总结

1.将Trap_Frame备份到context为返回三环做准备
2.判断先前模式 0是内核调用 1是用户层调用
3.判断是否是第一次调用
4.判断是否有内核调试器
5.如果没有内核调试器则不处理
6.调用RtlDispatchException处理异常
7.如果RtlDispatchException返回FALSE,再次判断是否有内核调试器,没有直接蓝屏

(ntoskrnl.dll)

1.将Trap_frame备份到context为返回3环做准备(由于操作系统不知道分发的异常到底是3环的异常还是0环的异常,如果是3环的异常,进0环前的环境会被备份到Trap_Frame中,如果要在中途回到3环的话,就需要将 Trap_frame 备份到 context,为返回3环做准备)

如果没有内核调试器或者内核调试器不处理,都跳转到loc_4309A1

调用**_RtlDispatchException**处理异常

如果RtlDispatchException返回FALSE,再次判断是否有内核调试器,没有直接蓝屏

(2)RtlDispatchException函数分析

RtlDispatchException函数作用:遍历异常链表,调用异常处理函数,如果异常被正确处理了,该函数返回1.如果当前异常处理函数不能处理该异常,那么调用下一个,以此类推。如果到最后也没有人处理这个异常,返回0。

RtlDispatchException调用_RtlpGetRegistrationHead

RtlpGetRegistrationHeadFS:0保存到eax之后返回。我们知道FS:0在零环的时候指向的是KPCR,而KPCR的第一个成员就是ExceptionList(具体信息可看以往文章apc和系统调用)

ExceptionList,指向了一个结构体 _EXCEPTION_REGISTRATION_RECORD

1._EXCEPTION_REGISTRATION_RECORD结构体必须位于当前线程的堆栈中

typedef struct _EXCEPTION_REGISTRATION_RECORD
{
	struct _EXCEPTION_REGISTRATION_RECORD *Next;
	PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;

2.这个结构体有两个成员,第一个成员指向下一个_EXCEPTION_REGISTRATION_RECORD,如果没有下一个_EXCEPTION_REGISTRATION_RECORD结构体,那么这个地方的值是-1。第二个成员是异常处理函数。

3.当调用RtlDispatchException时,按顺序执行异常处理函数,若其中一个异常处理函数返回结果为真,就不再继续向下执行

4.若执行完所有异常处理函数后,异常仍然没有被处理,那么就返回FALSE

在这里插入图片描述

4.用户层异常处理流程

1.上述内核层异常处理中,异常处理函数也在0环,不用切换堆栈,用户层异常发生在三环,异常处理函数也在3环,所以要切换堆栈(因为KiDispatchException在内核,从0环返到三环)回到3环执行异常处理函数

2.切换堆栈的处理方式与用户APC的执行过程几乎是一样的,惟一的区别就是执行用户APC时返回3环后执行的函数是KiUserApcDispatcher,而异常处理时返回3环后执行的函数是KiUserExceptionDispatcher

3.理解用户APC的执行过程是理解3环异常处理的关键

分析用户层异常发生时的 KiDispatchException

Trap_Frame备份到context

判断previousmode内核调用 还是 用户层调用,如果是用户层调用,jnz到loc_42COC2

当不存在内核调试器或者内核调试器没有处理时,跳转到42C10A

调用DbgkForwardException函数将异常发送给3环调试器

3环调试器如果不存在或者没有处理的话,就会开始修改寄存器,准备返回3环

这里eax的值是一个全局变量KeUserExceptionDispatcher;在操作系统初始化的时候,会给这个全局变量赋一个值,这个值就是ntdll.KiUserExceptionDispatcher函数

总结:

1._KeContextFromKframes将Trap_frame被分到context为返回3环做准备
2.判断席安全模式,0是内核调用,1是用户层调用
3.是否都是第一次机会
4.是否有内核调试器
5.发送给3环调试
6.如果3环调试器没有处理这个异常,修正EIP为KiUserExceptionDispatcher
7.KiUserExceptionDispatcher函数执行结束:CPU异常与模拟异常返回地点不同

8.无论通过那种方式,但线程再次回到3环时,将执行KiUserExceptionDispatcher函数

5.VEH(向量化异常处理)

当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了

这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行

KiUserExceptionDispatcher函数分析

调用_RtlDispatchException找到当前异常的处理函数,处理成功,再次调用ZwContinue重新进入0环(回到3环时,修改了eip,将返回地址更改为当前函数,因此进入0环需要再次修正eip,ZwContinue再次进入零环目的就是把修正后的context写进trap_frame里,再次返回3环后,就会从修正后的位置再次执行)

没有找到当前的处理函数,跳转,调用_ZwRaiseException对异常进行第二次分发

3环调用了RtlCallVectoredExceptionHandlers,0环没有调用此函数。

_RtlDispatchException函数分析

作用

  1. 查找VEH链表(全局链表),如果有则调用,如果没有继续查找局部链表
  2. 查找SEH链表(局部链表,在堆栈中),如果有则调用

注意:与内核调用时的区别!

VEH:全局链表,无论哪一个线程出现问题,都会先找这个全局链表,VEH中没有异常处理函数,在查找SEH链表,

代码:自定义VEH

typedef PVOID(NTAPI *FnAddVectoredExceptionHandler)(ULONG, _EXCEPTION_POINTERS*);
FnAddVectoredExceptionHandler MyAddVectoredExceptionHandler;
// VEH异常处理只能返回2个值
// EXCEPTION_CONTINUE_EXECUTION 已处理
// EXCEPTION_CONTINUE_SEARCH    未处理

//定义VEH的异常处理函数VectExcepHandler,这个函数只能有两个返回值
LONG NTAPI VectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)
{
	MessageBox(NULL,L"VEH异常处理函数执行了...",L"VEH异常",MB_OK);

	if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xC0000094)//异常被触发,判断是否是除0异常
	{
        
        
		//1.修改发生异常的代码的Eip    idiv ecx长度2字节 从下一行开始执行
		pExcepInfo->ContextRecord->Eip = pExcepInfo->ContextRecord->Eip + 2;
		//2.将除数修改为1
		//pExcepInfo->ContextRecord->Ecx = 1;
		return EXCEPTION_CONTINUE_EXECUTION;//已处理
	}

	return EXCEPTION_CONTINUE_SEARCH;//未处理
}

int main()
{
	//动态获取AddVectoredExceptionHandler函数地址
    //AddVectoredExceptionHandler:将异常处理函数插入到VEH全局链表中
	HMODULE hModule = GetModuleHandle(L"Kernel32.dll");
	MyAddVectoredExceptionHandler = (FnAddVectoredExceptionHandler)::GetProcAddress(hModule,"AddVectoredExceptionHandler");

	//参数1表示插入VEH链的头部, 0插入到VEH链的尾部
	MyAddVectoredExceptionHandler(0, (_EXCEPTION_POINTERS *)&VectExcepHandler);

	//构造除0异常
	int val = 0;
	_asm
	{
		xor edx, edx
		xor ecx, ecx
		mov eax, 100
		idiv ecx		//edx = eax / ecx
            			//异常触发,执行写入的异常处理函数

		mov val, edx
	}

	printf("val = %d\n",val);

	getchar();
}

这个异常处理函数的参数是一个结构体指针,有两个成员

typedef struct _EXCEPTION_POINTERS 
{
    PEXCEPTION_RECORD ExceptionRecord;//异常发生时的信息
    PCONTEXT ContextRecord;//异常发生时的上下文环境
} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

有了这个参数我们就可以捕获异常发生时的相关信息并且修改异常发生时的寄存器环境。

代码中是先判断异常代码是否为除0异常,然后修改发生异常的Eip和Ecx,接着返回异常已处理。如果不是除0异常就返回异常未处理。

VEH异常的处理流程

CPU捕获异常
通过KiDispatchException进行分发(3环异常将EIP修改为KiUserExceptionDispatcher)
KiUserExceptionDispatcher调用RtlDispatchException
RtlDispatchException查找VEH处理函数链表,并调用相关处理函数
代码返回到ZwContinue再次进入0环
线程再次返回3环后,从修正的位置开始执行

6.SEH(结构化异常处理)

​ 当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。

​ 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。

​ KiUserExceptionDispatcher会调用RtlDispatchException函数来查找并调用异常处理函数,查找顺序:

1.先查全局链表:VEH

2.再查局部链表:SEH

SEH是线程相关的,存储在当前线程的堆栈中。

三环,FS:0指向的是TEB,TEB的第一个成员是一个子结构体_NT_TIB,这个子结构体的第一个成员就是ExceptionList,异常处理链表

typedef struct _EXCEPTION_REGISTRATION_RECORD 
{ 
	struct _EXCEPTION_REGISTRATION_RECORD* Next;	//下一个节点,-1就是没有下一个节点了
	PEXCEPTION_ROUTINE Handler; 			        //指向下一个SEH异常处理函数
} EXCEPTION_REGISTRATION_RECORD;

在这里插入图片描述

VEH异常处理,全局的链表,想要插入异常处理函数,调用AddVectoredExceptionHandler函数;

SEH异常处理,想要插入异常处理函数的线程,需要自行插入_EXCEPTION_REGISTRATION_RECORD 这中结构,

RtlDispatchException函数分析

在这里插入图片描述

handler必须遵循调用约定,有自己的格式。

/*SEH处理函数是提供给RtlDispatchException调用的,所以需要遵循一定的格式。
EXCEPTION_DISPOSITION _cdecl MyEexception_handler
(
	struct _EXCEPTION_RECORD *ExceptionRecord,	//异常结构体
	PVOID EstablisherFrame,						//SEH结构体地址
	struct _CONTEXT *ContextRecord,				//存储异常发生时的各种寄存器的值 栈位置等
	PVOID DispatcherContext
)
*/

自定义SEH

#include <stdio.h>
#include <windows.h>

/*
//0环异常处理时讲过这个结构体
typedef struct _EXCEPTION_REGISTRATION_RECORD
{
	struct _EXCEPTION_REGISTRATION_RECORD *Next;
	PEXCEPtiON_ROUTINE Handler;
}
*/


struct MyException
{
	struct MyException *prev;
	DWORD handler;
};
/*SEH处理函数是提供给RtlDispatchException调用的,所以需要遵循一定的格式。
EXCEPTION_DISPOSITION _cdecl MyEexception_handler
(
	struct _EXCEPTION_RECORD *ExceptionRecord,	//异常结构体
	PVOID EstablisherFrame,						//SEH结构体地址
	struct _CONTEXT *ContextRecord,				//存储异常发生时的各种寄存器的值 栈位置等
	PVOID DispatcherContext
)
*/
EXCEPTION_DISPOSITION __cdecl MyExceptionHandler(
	struct _EXCEPTION_RECORD *ExceptionRecord,	//ExceptionRecord存储异常信息:什么类型、异常产生位置
	void * EstablisherFrame,					//MyException结构体地址
	struct _CONTEXT *ContextRecord,				//Context结构体,存储异常发生时各种寄存器的值,堆栈位置等
	void * Dispatchercontext)
{
	
MessageBox(NULL,L"SEH异常处理函数执行了...",L"SEH异常",NULL);
	if (ExceptionRecord->ExceptionCode == 0xC0000094)
	{
		ContextRecord->Eip = ContextRecord->Eip + 2;

		ContextRecord->Ecx = 100;

		return ExceptionContinueExecution;
	}

	return ExceptionContinueSearch;
}



void TestException()
{
	DWORD temp;
	
	//插入异常,必须在当前线程的堆栈当中
	//若定义成全局变量则无效
	MyException myException;
	__asm
	{
		mov eax, FS:[0]
		mov temp, eax
		lea ecx, myException
		mov FS:[0], ecx
	}
	
	//链表插入操作,将原来的也挂入到插入的SEH后面
	myException.prev = (MyException*)temp;
	myException.handler = (DWORD)&MyExceptionHandler;

	//构造除0异常
	__asm
	{
		xor edx, edx
		xor ecx, ecx
		mov eax, 0x10
		idiv ecx		//EDX:EAX 除以 ECX
	}

	//处理完成,摘掉异常
	__asm
	{
		mov eax, temp
		mov FS:[0], eax
	}

	printf("函数执行完毕\n");
}

int main()
{
	TestException();	
	return 0;
}

SEH异常的处理流程

  1. FS:[0]指向SEH链表的第一个成员
  2. SEH的异常处理函数必须在当前线程的堆栈中
  3. 只有当VEH中的异常处理函数不存在或者不处理才会到SEH链表中查找

7.编译器扩展的SEH

SEH的处理流程实际上就是在当前的堆栈中挂一个链表,

使用SEH这种方式来处理异常要创建一个结构体,挂到当前TEB的ExceptionList链表里,编写异常处理函数

编译器支持的SEH

_try                               	// 挂入链表
{
       
}
_except(过滤表达式)       		    // 异常过滤
{
    异常处理程序            		   
}

except里的过滤表达式用于异常过滤,只能有以下三个值:

EXCEPTION_EXECUTE_HANDLER(1) 异常已经被识别,控制流将进入到 _except模块中运行异常处理代码
EXCEPTION_CONTINUE_SEARCH(0) 异常不被识别,也即当前的这个 _except模块不是这个异常错误所对应的正确的异常处理模块。 系统将继续到上 _try except域中继续查找一个恰当的 _except模块。
EXCEPTION_CONTINUE_EXECUTION(-1) 异常被忽略,控制流将在异常出现的点之后,继续恢复运行。

过滤表达式只能有三种写法:

  1. 直接写常量值
  2. 表达式
  3. 调用函数

手动挂入链表

_asm
{                                                  
	mov eax,FS:[0]						
	mov temp,eax						
	lea ecx,myException	
    mov FS:[0],ecx                    
}
Orcinus p
关注
中断和异常
u012138730的专栏
05-10 3133
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
Linux内核学习---写时复制(COW)技术
Ding 的博客
06-02 1749
Linux内核学习—写时复制(COW)技术 写时复制技术(copy-on-write) 传统的Unix系统以一种比较统一的方式对待所有的进程:子进程复制父进程所有的资源。这种方法有一些很明显弊端: 将使用大量内存 复制操作耗费大量时间 通常情况下子进程不需要读或者写父进程拥有的所有资源,故该方法效率也是非常低的(复制的大量资源都没有使用) 并且,如果应用程序在进程复制后使用exec立即加载新程序,这意味着之前的复制基本是完全多余的,因为进程地址空间需要重新初始化,之前复制的数据不再需要,这导致之前做的都
内核异常的处理
Norton的专栏
02-20 2111
与中断不同,各种异常都具有固定的中断向量以及固定的异常服务程序(在 trap_init 函数中指定)。因 此,当异常发生时,将直接跳转到相应的服务程序并执行。 异常服务程序都定义在 arch/i386/kernel/entry.S 文件,比如堆栈段异常(中断向量 12)的服务程序即是: 955 ENTRY(stack_segment) 956 RING0_EC_FRAME 957 pushl
linux内核调试(一):内核问题的原因
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
03-13 1361
linux内核包括进程管理、内存管理、中断管理、设备驱动、同步机制等各种模块,它们共同运行在一个共享的地址空间中,因此在运行中一旦出现问题,彼此之间可能具有千丝万缕的联系。而且与用户态不同,内核还需要与形形色色的硬件打交道,因此对于某些较为诡异的问题,除了软件以外还可能受到硬件的影响。如由于射线或电磁辐射的原因造成内存中某个bit翻转,或者某些非法总线地址的访问,导致总线挂死等。更进一步,内核作为系统的基础服务提供者,
C++编译器如何实现异常处理
01-27 1190
与传统语言相比,C++的一项革命性创新就是它支持异常处理。传统的错误处理方式经常满足不了要求,而异常处理则是一个极好的替代解决方案。它将正常代码和错误处理代码清晰的划分开来,程序变得非常干净并且容易维护。本文讨论了编译器如何实现异常处理。我将假定你已经熟悉异常处理的语法和机制。本文还提供了一个用于VC++的异常处理库,要用库中的处理程序替换掉VC++提供的那个,你只需要调用下面这个函数:
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1162
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
Cortex-M3内核异常处理机制及其新技术研究
08-14
此外,Cortex-M3内核异常处理机制也可以与其他技术相结合,例如artificial intelligence(人工智能)、machine learning(机器学习)等,以提高系统的智能性和自适应性。 Cortex-M3内核异常处理机制具有很高的...
特权提升技术总结之Windows文件服务内核篇 - 先知社区1
08-03
【特权提升技术】在计算机安全领域中,特权提升是一种攻击技术,它允许攻击者通过利用系统或应用程序的...同时,通过学习如何利用这些命令行工具进行信息收集,可以更好地理解和评估系统的脆弱性,从而提高防御能力。
LINUX内核编程---相当经典
01-20
"LINUX内核编程---相当经典"这一教程很可能提供了深入的见解,帮助学习者掌握这一复杂的主题。让我们来探讨一些核心的Linux内核编程知识点。 1. **Linux内核概述**:Linux内核是操作系统的核心,负责管理硬件资源,...
Linux内核笔记-很强大很详细的
09-08
Linux内核是操作系统的核心部分,负责管理系统的硬件资源,...通过深入学习,可以提升对Linux操作系统的理解和操作能力,尤其对于在ARM架构下工作的人来说,了解Linux内核的细节将有助于优化系统性能和解决实际问题。
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
undefined reference to `_CxxThrowException@8‘(转)
dragoo1的专栏
03-25 318
是QT 源码安装包和QT编译器没有匹配上导致的。 eg: QT源码安装包是qt-opensource-windows-x86-vs2010-4.8.7.exe,但是编译器是mingw32。就会不匹配,导致以上错误。 解决办法: 更改源码包为:qt-opensource-windows-x86-mingw482-4.8.7.exe,完美解决。 ———————————————— 版权声明:本文为CSDN博主「sxdove71」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声
漫谈兼容内核之二十五:Windows的结构化异常处理(二)
周寅的专栏
03-13 1120
 先看调用参数。异常纪录块ExceptionRecord就是前面准备好的;指针ExceptionFrame是NULL,这是个 KEXCEPTION_FRAME结构指针,但是从代码中看这只是为PowerPC芯片而设的,用于保存一些附加寄存器的内容,386架构的处理器芯片无 此要求;而陷阱框架指针Tf指向堆栈上因异常而形成的框架,我们在前面倒是称之为“异常框架”。此外,PreviousMode为Ker
Windows异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1273
异常 Windows异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseExceptionthrow。 先来介绍一下软件异常throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
kernel panic log
最新发布
qq_41483419的博客
09-15 234
kernel panic log
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
windbg分析C++ EH exception
hom_yang的博客
08-26 9308
工作时遇到的dump分析,记录下来以后给自己复习用 配置有冲突的策略后。运行一段时间后exe占用的内存不断上涨,之后崩溃 0:005> !analyze -v ******************************************************************************* *
2.内核异常处理流程
My classmates
10-29 1461
用户层异常内核异常 异常可以发生在用户空间,也可以发生在内核空间。 无论是CPU异常还是模拟异常,是用户层异常还是内核异常,都要通过 KiDispatchException函数进行分发,这个函数比较复杂。 VOID KiDispatchException ( ExceptionRecord, ExceptionFrame, TrapFrame, PreviousMode, First...
《Linux内核0.11完全注释》赵炯 - 学习内核的经典著作
9. **中断与异常处理**:了解内核如何处理硬件中断和软件异常,以及相关的中断服务例程。 10. **网络子系统**:虽然0.11版本的网络支持可能相对简单,但仍然可以了解早期的网络通信基础。 11. **并发与同步**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值