-异常处理-

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量571 收藏
点赞数 1
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52369224/article/details/123263139
版权

简介:

异常分为俩种,CPU产生的异常(除0,缺页)和软件模拟产生的异常

来自《加密与解密》

SEH:

SEH是Windows操作系统提供的异常处理机制,在程序源代码中使用_try、__except、_finally关键字来具体实现。

TEB/T:

typedef struct _NT_TIB {
     struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; //异常的链表

     PVOID StackBase;
     PVOID StackLimit;
     PVOID SubSystemTib;

     union {
         PVOID FiberData;
         DWORD Version;
     };
 
     PVOID ArbitraryUserPointer;
     struct _NT_TIB *Self;
} NT_TIB;

  通过TEB结构体的NtTib成员可以很容易的访问进程的SEH链,TEB。

                          NtTib.ExceptionList=FS:[0]

SEH链:

SEH以链的形式存在。第一个异常处理中未处理相关异常,它就会被传递到下一个异常处理器,直到得到处理。SEH是由_EXCEPTION_REGISTRATION_RECORD结构体组成的链表

typedef struct_EXCEPTION_REGISTRATION RECORD

{

PEXCEPTION_REGISTRATION_RECORD Next;

PEXCEPTION_DISPOSITION Handler;

EXCEPTION_REGISTRATION_RECORD,*PEXCEPTION_REGISTRATION_RECORD;

}

Next成员指向下一个_EXCEPTION_REGISTRATION_RECORD结构体指针,handler成员是异常处理函数(异常处理器)。若Next成员的值为FFFFFFFF,则表示它是链表最后一个结点

  发生异常的时候会按照(A)->(B)->(C)的顺序依次传递,直到由异常处理器处理

可以通过在堆栈看seh结构体,链接下一个seh 同时储存函数处理地址,seh不一定是try except,可能会事先注册。

异常处理函数: 

EXCEPTION_DISPOSITION __cdecl _except_handler (
  EXCEPTION_RECORD      *pRecord,
  EXCEPTION_REGISTRATION_RECORD *pFrame,
  CONTEXT        *pContext,
  PVOID          pValue
);

 由系统调用,是一个回调函数,第一个参数是一个指向EXCEPTION_RECORD结构体的指针

typedef struct _EXCEPTION_RECORD {
    DWORD ExceptionCode;   //异常代码
    DWORD ExceptionFlags;
    struct _EXCEPTION_RECORD *ExceptionRecord;
    PVOID ExceptionAddress;   //异常发生地址
    DWORD NumberParameters;
    ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
} EXCEPTION_RECORD;

  异常发生的时候,执行异常代码的线程就会发生中断,转而运行SEH,此时OS会把线程 CONTEXT结构体的指针传递给异常处理函数的相应参数。里面有个eip成员,在异常处理函数中将参数传递过来的CONTEXT.eip设置为其他地址,然后返回处理函数。这样之前暂停的线程会执行新的EIP地址处的代码(反调试中经常使用这个技术) 

 SEH安装/删除方法

       汇编中安装使用

push @MyHandler  ;异常处理程序
push FS:[0]       ;SEH Linked List头
mov dword ptr fs:[0],esp  ;添加链表

汇编中的删除SEH代码  

POP DWORD PRT FS:[0] ;读取栈值并将其放入FS:[0],这里的栈值存放的下一个SEH的起始地址,执行该命令之后,就可以从栈中删除对应的SEH。
ADD ESP,4

     Fs:[0]总是指向当前线程的TIB,其中0偏移的指向线程的异常链表,即ExceptionList是指向异常处理链表(EXCEPTION_REGISTRATION结构)的一个指针。

OD选项

od中选择options-debugging options-.exception 

合理配置可以在不暂停调试器的情况下基于规避SEH实现的反调试招数。

忽略在kernel32中发生的内存非法访问异常

默认选中。也就是说,碰到软件模拟产生的异常 的时候不会暂停。

忽略其它异常

这里添加的异常会 发送给被调试者。

反调试

异常(Exception )常用于反调试技术。正常运行的进程发生异常时,在SEH机制的作用下,OS会接收异常,然后调用进程中注册的SEH处理。但是,若进程(被调试者)在调试运行中发生异常,调试器就会接收处理。利用该特征可判断进程是正常运行还是调试运行,然后根据不同结果执行不同操作,这就是反调试技术的原理。

 

Windows操作系统中最具代表性的异常是断点异常。BreakPoint指令触发异常时,若程序处于正常运行状态,则自动调用已经注册过的SEH;若程序处于调试运行状态,则系统会立刻停止运行程序,并将控制权转给调试器。一般而言,异常处理器中都含有修改EIP值的代码。修改调试器选项可以把处在调试中的进程产生的相关异常转给操作系统,自动调用SEH处理。但即便如此,在异常处理器中适当应用静态反调试技术,也能够轻松判断进程是否处于调试状态。此外,EIP值在异常处理器内部如何变化也不得而知,这意味着,必须跟踪进入异常处理器才能继续调试。

处理:

用OD在Debugging options对话框的Exceptions选项卡中,复选“相应的异常类型”后,调试器就会忽略被调试进程中发生的异常,而由自身的SEH处理。

1ens
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向分析MSVCR90D.dll!_except_handler4_common函数
04-04 5093
引言:_except_handler4_common执行_except_handler4转发而来的异常处理。102DCA80 _EXCEPTION_DISPOSITION __cdecl _except_handler4_common(102DCA80 unsigned int *CookiePointer, 102DCA80 void (__fastcall *C
Python-异常处理-教学设计.docx
06-11
问答互动引出学习目标 讲授法 示范练习 随堂报告 Python-异常处理-教学设计全文共6页,当前为第1页。Python-异常处理-教学设计全文共6页,当前为第1页。《异常处理》教学设计 Python-异常处理-教学设计全文共6页,...
软件漏洞分析入门(五)
SimoSimoSimo的博客
07-12 1058
异常处理机制简单来说,就是当异常发生的时候,系统先抛出异常,程序先检查一遍,看看自己有没有能处理这种异常的函数,能处理固然好,如果不能处理的话就继续传给系统,即默认异常处理,随机终止进程SEH,Structure Exception Handler异常处理结构体,是一种 Windows 在异常处理中用到的一种数据结构。SEH 包含一个 SEH 链表指针以及应该异常处理函数句柄,栈中的多个 SEH 通过链表指针在栈内由栈顶向栈底串成单向链表,位于链表最顶端的 SEH 通过 TEB(线程环境块)0 字节偏移处
windows的异常处理机制SEH
qq_41814777的博客
10-16 902
前言: 操作系统或 程序在运行时 难免会遇到各种各样 操作系统或程序在运行时,难免会遇到各种各样的错误,如除0、非法内存访问、文件打开错误、内存不足、读写错误、外设操作失败等。 为了保证系统在遇到错误时不至于崩溃 仍能够 为了保证系统在遇到错误时不至于崩溃,仍能够健壮稳定地继续运行去,Windows会对运行在其中的程序提供一次补救的机会来处理错误,这种机制就是异常处理机制。 OS 的异常处理方法:...
深入解析结构化异常处理(SEH)
大神之路漫漫,吾将连滚带爬
06-27 3319
深入解析结构化异常处理(SEH) 一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗. 1997年文章,Windows技术的根一直没变: http://www.microsoft.com/msj/0197/exception/exception.aspxMatt Pietrek 著 董岩 译在Win32操作系统提供的所有功能中,使用最广泛而又没有公开的恐怕要数结构
SEH实例分析
weixin_46465532的博客
04-11 485
1.相关数据结构 1.1TIB结构 保存线程基本信息的数据结构。位于TEB(操作系统里保存每个线程的私有数据,每个线程都有自己的TEB)的头部。 1.2_EXCEPTION_REGISTRATION_RECORD结构 PS:SEH机制的作用范围仅限于当前线程。 2.SEH处理程序的安装和卸载 1.使用如下代码进行安装 2.使用如下代码进行卸载 ...
我理解的windows异常处理
要饭's Blog
07-01 1322
申明:    1.本文大部份内容参考《A Crash Course on the Depths of Win32 Structured Exception Handling》,我只是对顺序进行了一些调整,同时加入了一些我的理解,所以不敢自称原创。    2.结构定义位置中的X:指的是VC6.0的安装盘符。    首先,当线程发生异常时,操作系统会将这个异常通知给用户使用户能够得知它的发生。更特别的
js npapii使用embed 调用dll插件_OD插件编写
weixin_39879665的博客
11-24 300
OD的bugOD的异常bug当程序产生了异常后,操作系统在派发异常时,首先会将异常给调试器,但是在调试过程中,OD并不能成功收到异常,需要手动对 kernel32.dll中的 UnhandledExceptionFilter打补丁才能解决这个问题或者使用 SharpOD插件。手动修复Bug手动修改流程,使其可以执行下面的函数调用。Win10环境下将 UnhandledExceptionF...
处理异常的方式
weixin_59497353的博客
01-16 4449
一、异常处理方式1 —— throws · throws:用在方法上,可以将方法内部出现的异常抛出去给本方法的调用者处理。 · 这种方式并不好,发生异常的方法自己不处理异常,如果异常最终抛出去给虚拟机将引起程序死亡。 抛出异常格式: 方法 throws 异常1 ,异常2 ,异常3 ..{ } 规范做法: 方法 throws Exception{ } 代表可以抛出一切异常 二、异常处理方式2 —— try…catch…异常处理方式2 —— try…catch… · 监视捕获异常,用在方法
初探windows异常处理
hongduilanjun的博客
05-09 932
windows系统里,为了保证系统内核的强壮和稳定,为了保证用户程序的强壮和稳定,提供了异常处理机制,来帮助程序员和系统使用人员处理异常。如果想要更加深入的掌握操作系统,异常处理的知识是必不可少的,不仅如此,软件调试也与异常处理息息相关。 异常执行流程 CPU检测到异常 -> 查中断表执行处理函数 -> CommonDispatchException -> KiDispatchException -> KiUserExceptionDispatcher -> Rtl
Windows 系统异常处理顺序总结
zhangmiaoping23的专栏
08-21 1942
首先要明白异常处理是分层的,有: 1.内核异常处理 2.调试器异常处理 3.进程VEH 3.线程SEH 4.进程SetUnhandledExceptionFilter()注册的函数 5.系统默认的异常处理函数 UnhandledExcetionFilter(). UnhandledExceptionFilter()根据 HKLM\SOFTWARE\Microsoft\Windows N
python基础-异常处理
12-21
python基础-异常处理一、异常简介1.异常2.处理异常二、异常传播三、异常对象四、自定义异常对象 一、异常简介 1.异常 程序在运行过程当中,不可避免的会出现一些错误,比如: 使用了没有赋值过的变量 使用了不存在...
Lab01-异常处理-调试
02-13
Lab01a异常处理和调试 关于本计划 代码研究员401 ASP.NET实验1的实践与异常处理和调试,根据用户的输入执行简单的数学方程式。 设置 克隆回购 在Visual Studio或其他选择的IDE中打开并运行文件 视觉的 该程序是一个...
Java学习资料-异常处理
06-15
Java学习资料—异常处理;Java学习资料—异常处理;Java学习资料—异常处理Java学习资料—异常处理;Java学习资料—异常处理
Java异常处理-异常处理的方式1
01-12
Java异常处理--异常处理的方式1
全视通智慧手术室对讲方案,让手术更安全更高效
2301_78035670的博客
04-24 451
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 820
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 334
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 276
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
vue-resource 异常处理
02-07
vue-resource 是 Vue.js 的一个插件,用于在应用程序中发送 HTTP 请求。在使用 vue-resource 时,可以使用 $http 对象处理异常。 具体做法是: 1. 在调用 $http 方法时,使用 .catch() 或 .error() 方法处理异常。 2. 在 Vue 实例中注册一个全局的错误处理器,使用 $http.interceptors 实现。 示例代码如下: ``` this.$http.get('/someUrl').then(response => { // success callback }, response => { // error callback }); ``` ``` Vue.http.interceptors.push((request, next) => { next((response) => { // error callback }); }); ``` 需要注意的是,vue-resource 已经不更新了,建议使用axios来做网络请求.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值