再探Win32 SEH

最新推荐文章于 2022-05-16 19:29:57 发布
最新推荐文章于 2022-05-16 19:29:57 发布
阅读量1.6k 收藏
点赞数
分类专栏: VC Windows 文章标签: exception pointers struct 数据结构 security 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysbcg/article/details/2742607
版权
VC 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
Windows
6 篇文章 0 订阅
订阅专栏

很早之前就看了Matt Pietrek的A Crash Course on the Depths of Win32 Structured Exception Handling这篇巨作,真是前无古人,后有仿者。
今天突发奇想研究了一下VS2005的SEH,又看到些新的东西,下面说明一下。

 

看一下文中引用的EXSUP.INC中的异常注册的定义:

struct _EXCEPTION_REGISTRATION{   
     struct _EXCEPTION_REGISTRATION *prev;   
     void (*handler)(PEXCEPTION_RECORD,   
                     PEXCEPTION_REGISTRATION,   
                     PCONTEXT,   
                     PEXCEPTION_RECORD);   
     struct scopetable_entry *scopetable;   
     int trylevel;   
     int _ebp;   
     PEXCEPTION_POINTERS xpointers;   
};

 

ebp其实应该不是seh中的VC_EXCEPTION_REGISTRATION_RECORD的成员,因为在VC++中无论有否SEH都会用ebp去表示当前函数堆栈起始,参数和变量都是通过ebp访问的。


那这个ebp使用来干什么的呢?
编译器编译出来的函数代码中前两条语句基本上总是
push ebp
mov  esp,ebp
而在返回的时候将ebp直接送给esp,pop先前栈上的ebp的
mov  ebp, esp
pop  ebp

 

不知道大家记得这两条x86指令:

enter 等价于
push ebp
mov  esp,ebp

leave 等价于
mov  ebp, esp
pop  ebp

 

这两条指令就是设计来完成这个工作的,从这可以看出使用ebp作为esp的快照是普遍采用的,这样更说明ebp可能不是VC_EXCEPTION_REGISTRATION_RECORD的成员,可能恰巧在那里了。

 

PS : 可以看下GCC,GCC也是这样使用ebp的。

 

另外一个恰巧就是xpointers,大家知道call指令的作用就是将eip下条指令压入堆栈(当然,CPU在解析完call指令后,eip其实应该已经指向下条指令了,只要将eip压入即可),并将调用地址赋值给eip,这样下条执行就从新函数开始了。
所以这个xpointers也是所说的恰巧在那里。
 
所以实际的注册结构应该为:

struct _EH3_EXCEPTION_REGISTRATION
{
	_EH3_EXCEPTION_REGISTRATION * Next;
	void * ExceptionHandler;
	_SCOPETABLE_ENTRY * ScopeTable;
	DWORD TryLevel;
};

 

但是如果你自己跟踪堆栈就会发现,VC在这个注册结构的上方(堆栈上方)还放置了两个成员。
一个存储了当时的esp,这个esp就是这个函数使用的最高堆栈地址(不包括函数调用),而如果这个函数调用其它函数,则这个地址刚好指向函数调用堆栈的起始。
另外一个成员在构造这个注册结构的时候没有初始化,而且如果这个函数没有发生过异常,这个成员都不会被赋值,只有在发生异常时,这个成员才被写入,而且其值是_EXCEPTION_POINTERS *。

这个如果算上ebp和那个返回地址的话,整个的注册结构应该是这样的:

struct _EH_EXCEPTION_REGISTRATION_RECORD
{
	void * SavedESP;
	_EXCEPTION_POINTERS * ExceptionPointers;
	_EXCEPTION_REGISTRATION_RECORD SubRecord;
	INT_PTR ScopeTable;
	DWORD	TryLevel;
//	DWORD	_ebp;
//	PEXCEPTION_POINTERS xpointers;
};

 

VC的SEH从VC6到VS2003就没什么变化,只是增加了一些判断是否有效的函数,但是到了2005问题就来了。ShowSEHFrames 这个函数在VS2005下会在打印ScopeTable是触发异常。这是因为VS2005将C++EH的版本更新到了第四版。
第四版的EH修改了ScopeTable的数据结构,但是这次升级可不是单纯改个结构。因为VS2005加强了代码的安全性,Crt的内部指针都被加密了。

 

但是经过努力,终于将VS2005的EH结构分析出来,在此贡献给大家:

typedef _EXCEPTION_DISPOSITION (*EXCEPTION_HANDLER)(
	PEXCEPTION_RECORD,
	_EXCEPTION_REGISTRATION_RECORD *,
	PCONTEXT,
	PEXCEPTION_RECORD );

struct _EH_SCOPETABLE_RECORD
{
	DWORD EnclosingLevel;
	long (*FilterFunc)(void);
	union {
		void (*HandlerAddress)(void);
		void (*FinallyFunc)(void);
	} u;
};

struct _EH4_SCOPETABLE_RECORD : _EH_SCOPETABLE_RECORD {};
struct _EH3_SCOPETABLE_RECORD : _EH_SCOPETABLE_RECORD {};

struct _EH3_SCOPETABLE
{
	_EH3_SCOPETABLE_RECORD ScopeRecord[1];
};

struct _EH4_SCOPETABLE
{
	DWORD	GSCookieOffset;
	DWORD	GSCookieXOROffset;
	DWORD	EHCookieOffset;
	DWORD	EHCookieXOROffset;
	_EH4_SCOPETABLE_RECORD ScopeRecord[1];
};

struct _EXCEPTION_REGISTRATION_RECORD
{
	struct _EXCEPTION_REGISTRATION_RECORD *Next;
	EXCEPTION_HANDLER Handler;
};

struct _EH_EXCEPTION_REGISTRATION_RECORD
{
	void * SavedESP;
	_EXCEPTION_POINTERS * ExceptionPointers;
	_EXCEPTION_REGISTRATION_RECORD SubRecord;
	INT_PTR ScopeTable;
	DWORD	TryLevel;
//	DWORD	_ebp;
//	PEXCEPTION_POINTERS xpointers;
};

struct _EH4_EXCEPTION_REGISTRATION_RECORD
{
	void * SavedESP;
	_EXCEPTION_POINTERS * ExceptionPointers;
	_EXCEPTION_REGISTRATION_RECORD SubRecord;
	INT_PTR EncodedScopeTable;
	DWORD	TryLevel;
//	DWORD	_ebp;
//	PEXCEPTION_POINTERS xpointers;
};


还有操作系统的Shell32.dll内部的EH还是版本3。所以,已经不能简单的将操作系统BaseProcessStart中的注册记录 对应的ShowSEHFrames 程序应该修改如下:

//----------------------------------------------------------------------------
// Prototypes
//----------------------------------------------------------------------------

// _except_handler3 在VS2005中还存在,不过他已经失去原有的作用了,取而代之的是
// _except_handler4
extern "C" _EXCEPTION_DISPOSITION
_except_handler3(
	PEXCEPTION_RECORD,
	_EXCEPTION_REGISTRATION_RECORD *,
	PCONTEXT,
	PEXCEPTION_RECORD );

// _except_handler4 是VC++运行库函数。我们想使用它的地址,但是我们需要定义它
// 的参数和返回值,因为微软没有头文件提供它的定义。
extern "C" _EXCEPTION_DISPOSITION
_except_handler4(
	PEXCEPTION_RECORD,
	_EXCEPTION_REGISTRATION_RECORD *,
	PCONTEXT,
	PEXCEPTION_RECORD );

//----------------------------------------------------------------------------
// Code
//----------------------------------------------------------------------------

//
// Display the information in one exception frame, along with its scopetable
//
void ShowSEHFrame( _EH_EXCEPTION_REGISTRATION_RECORD * pVCExcRec )
{
	VOID *pScopeTable = NULL;

	_EH_SCOPETABLE_RECORD *pScopeTableEntry = NULL;

	if( pVCExcRec->SubRecord.Handler == _except_handler4 )
	{
		// pVCExcRec 是 _EH4_EXCEPTION_REGISTRATION_RECORD*
		_EH4_SCOPETABLE *pEH4ScopeTable;
		pEH4ScopeTable = (_EH4_SCOPETABLE *)pVCExcRec->ScopeTable;
		// EH4的ScopeTable使用cookie加密过了
		((DWORD_PTR&)pEH4ScopeTable) ^= __security_cookie;
		// EH3和EH4的ScopeTable位置不同,但是结构相同
		pScopeTableEntry = pEH4ScopeTable->ScopeRecord;

		pScopeTable = pEH4ScopeTable;
	}
	else
	{
		_EH3_SCOPETABLE *pEH3ScopeTable;
		pEH3ScopeTable = (_EH3_SCOPETABLE *)pVCExcRec->ScopeTable;
		// EH3和EH4的ScopeTable位置不同,但是结构相同
		pScopeTableEntry = pEH3ScopeTable->ScopeRecord;

		pScopeTable = pEH3ScopeTable;
	}//END_IF

	printf(
		"Frame: %p  Handler: %p  Prev: %p  Scopetable: %p/n",
		pVCExcRec,
		pVCExcRec->SubRecord.Handler,
		pVCExcRec->SubRecord.Next,
		pScopeTable );

	for( DWORD dwIndex = 0;
		dwIndex <= pVCExcRec->TryLevel;
		++dwIndex )
	{
		printf(
			"    scopetable[%u] PrevTryLevel: %08X  "
			"filter: %p  __except: %p/n",
			dwIndex,
			pScopeTableEntry->EnclosingLevel,
			pScopeTableEntry->FilterFunc,
			pScopeTableEntry->u.HandlerAddress );

		pScopeTableEntry++;
	}//END_FOR

	printf( "/n" );
}   

//
// Walk the linked list of frames, displaying each in turn
//

void WalkSEHFrames( void )
{
	_EXCEPTION_REGISTRATION_RECORD *pExcRec;

	// Print out the location of the __except_handler3 function
	printf( "_except_handler3 is at address: %p/n", _except_handler3 );
	printf( "_except_handler4 is at address: %p/n", _except_handler4 );
	printf( "/n" );

	// Get a pointer to the head of the chain at FS:[0]
	__asm   mov eax, FS:[0];
	__asm   mov [pExcRec], EAX;

	// Walk the linked list of frames.  0xFFFFFFFF indicates the end of list
	while( DWORD_PTR(-1) != (DWORD_PTR)pExcRec )
	{
		_EH_EXCEPTION_REGISTRATION_RECORD *pVCEcxRec = 
			CONTAINING_RECORD( pExcRec,
			    _EH_EXCEPTION_REGISTRATION_RECORD, SubRecord );
		ShowSEHFrame( pVCEcxRec );
		pExcRec = pExcRec->Next;
	}
}
ysbcg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
MinGW-W64 x86_64-win32-seh
11-16
配置VsCode的时候发现x86_64-8.1.0-release-win32-seh-rt_v6-rev0.7z 这个包国内下载很慢,所以传到蓝奏云上供不方便下载的朋友们快速下载。 平台会自动涨价,免积分下载地址: ...
x86_64-13.2.0-release-win32-seh-msvcrt-rt_v11-rev0.7z
12-14
标题 "x86_64-13.2.0-release-win32-seh-msvcrt-rt_v11-rev0.7z" 暗示了一个针对x86_64架构的Windows 32位系统编译工具链的压缩包。这个版本号13.2.0表示它是一个更新的发布,而"win32-seh"表示它支持Windows的异常...
Windows 8的用户模式Shim Engine小及利用
dengliang7440的博客
03-29 876
转载:https://bbs.pediy.com/thread-175483.htmWindows Shim Engine,即Windows 兼容性模式实现引擎,在exe文件的属性对话框中有一个兼容性选项卡,用户可设置此exe程序完美工作的系统版本,Windows会尝试模拟老的系统环境运行此程序。那Windows是如何模拟的呢?Windows认为老程序出问题的原因在于它们调用的API上,...
python调用go或c语言
小小明-代码实体的专栏
01-01 3万+
本文档由小小明个人学习整理 python调用go语言 ​ Python是一个生产力很高的语言,能够以最高的效率完成最多的事,但是Python的性能,是我们一直诟病的一个问题,尤其是一个大锁GIL。当然现在大部分程序都是(IO)网络密集型程序,Python足以胜任,但是如果说我们已经存在的项目或者想要开发的项目中,存在有计算密集型的程序场景,该如何提升性能呢? ​ 一般是可以用C\C++重写Python计算密集的地方,来提高性能,但是C\C++是有一些学习成本的,指针和自己释放内存都有一定门槛。Go就.
《Metasploit渗透测试魔鬼训练营》学习笔记
热门推荐
weixin_40133285的博客
05-16 4万+
Metasploit渗透测试魔鬼训练营 诸葛建伟 陈力波 孙松柏 王衍 田繁 学习笔记 |Linux Metasploitable | Linux靶机 | 下载vmware虚拟机镜像 |WinXP Metasploitable | Windows靶机 | 下载vmware虚拟机镜像 |OWASP BWA | Web服务器靶机| 下载vmware虚拟机镜像 |Win2K3 Metasploitable |Windows靶机 | 下载vmware虚拟机镜像
ATT&CK 红日2靶机渗透攻略
weixin_47311099的博客
01-27 5773
环境准备 红日靶场一下载地址 :http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 靶机通用密码:1qaz@WSX dc:win2012 web:win2008 初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去,并且登进去后启动C:\Oracle\Middleware\user_projects\domains\base_domain\startWebLogic.bat 启动时需要管理员身份(administ
IDM 6.40.11.2 弹窗的解决思路
谢绝留言与私信
05-06 3万+
IDM 6.4.11.2 弹窗的解决思路 前言 在IDM官方下载了IDM的30天试用版。 装好后,找了一个和谐工具。运行和谐工具后,看IDM关于那里,已经是全功能版本。 美中不足的是,IDM运行一段时间,就会弹出neg窗口,说文件被修改,最好是去官网下载原版的提示。 我这的弹框如下: 文本提示信息如下: --------------------------- IDM is corrupt --------------------------- The main IDM executive file is
品好书
quasiceo
09-11 8948
http://blog.donews.com/xzwenlan/archive/category/璇讳功绗旇/page/6 站在大世界 品好书,体会修炼之道 读者zhanghx6986有周六逛书店的习惯,这次书店之行依然收获颇丰,看看他品读《程序员修炼之道》之后有什么感悟吧。 [ 查看本指南所提及的书籍 ]      本人一向有周六逛
windows类书的学习心得
thanklife的专栏
07-30 3万+
windows类书的学习心得 这篇文章应该是凑的,不够很长,还是值得读的,转发来。下满是原网址: http://www.blogjava.net/sound/archive/2008/08/21/40499.html 创建人: paul 现在的计算机图书发展的可真快,很久没去书店,昨日去了一下,真是感叹万千,很多陌生的出版社,很多陌生的作者,很多陌生的译者,书名也是越来越夸张,什
第一次OllyDbg逆向记录(分析思路和注意点&其他文章)
dhe8356的博客
07-28 1913
OllyDbg 操作菜单栏、工具栏、快捷键 C++调用加强 目录 OllyDbg 操作菜单栏、工具栏、快捷键1 一、载入观察1 1、静态载入观察:1 2、OD动态观察1 二、初步尝试下断查找目标1 1、如何下断1 2、接下来有两个选择:1 2.1手动F9运行目标1 2.2设条件...
《Dive into Windbg系列》Wireshark的卡死与崩溃
hnzwx888的专栏
06-22 1497
转载自:https://www.anquanke.com/post/id/95427 《Dive into Windbg》是一系列关于如何理解和使用Windbg的文章,主要涵盖三个方面: 1、Windbg实战运用,排查资源占用、死锁、崩溃、蓝屏等,以解决各种实际问题为导向。 2、Windbg原理剖析,插件、脚本开发,剖析调试原理,便于较更好理解Windbg的工作机制。 3、Windbg后...
x86_64-13.2.0-release-win32-seh-ucrt-rt_v11-rev1.7z
最新发布
12-14
标题 "x86_64-13.2.0-release-win32-seh-ucrt-rt_v11-rev1.7z" 暗示了一个针对x86_64架构的Windows 32位兼容版本的软件开发工具包。这个描述可能包含了关于编译器、运行时库和相关工具的信息。"seh"代表结构化异常...
x86_64-8.1.0-release-win32-seh-rt_v6-rev0.rar
11-14
标题 "x86_64-8.1.0-release-win32-seh-rt_v6-rev0.rar" 暗示了这是一个针对x86_64架构的编译器或开发环境的下载包,版本号为8.1.0,并且是针对Windows 32位系统(尽管它本身是64位程序)的,具有结构化异常处理...
x86_64-13.2.0-release-win32-seh-msvcrt-rt_v11-rev1.7z
12-14
标题 "x86_64-13.2.0-release-win32-seh-msvcrt-rt_v11-rev1.7z" 暗示了一个针对x86_64架构的Windows 32位兼容版本的编译器工具链。描述中的内容与标题相同,进一步确认了这是一个软件包,可能是用于开发环境的下载...
如何加快VS2005的IDE使用
09-05 1766
可以有几种方法:减少工程的加入关掉IntelliSense可以被Visual Assist代替的功能完全关掉IntelliSense直接使用Visual Assist1.  完全关掉VS2005的IntelliSense有两种方法将与sln的相同名称的ncb文件删除,创建一个相同名字的目录(这个有点像土法免疫病毒);将/Microsoft Visual Stud
VC如何实现的虚继承
12-11 806
大家知道C++中可以使用虚继承,而为什么虚继承基类的构造函数只会被构造一次呢?原来VC在生成虚继承基类子类对应的构造函数和调用代码时,给构造函数多加了一个参数,这个参数是一个布尔知。如果为True(1),则我们实际在构造实际的对象,这时构造函数会调用其所有虚继承基类的构造函数,无论这虚继承基类是这个类的多少辈祖先。而且只有这个对象才知道虚继承基类在自己类中的内存偏移,别人也无法进行虚继承基类的构造
VC2008 SP1的TR1在处理对齐时有问题
04-23 742
<br />在对如下结构使用其相同对齐结构时的结果是错误的<br /> <br />__declspec(align(16)) struct Vector { float a, b, c, d; }; printf( " std::alignment_of(Vector) = %d/n", ::std::tr1::alignment_of<Vector>::value ); printf( " std::alignment_of(aligned_storage(Vector)) = %d/n",
获得函数指针和虚表序号
01-19 673
在使用C语言进行编程时,我们经常会使用函数指针,但是我们拿到的函数指针真的就是函数的代码体么?答案当然是不是,如果我们直接拿到函数的代码体的指针的话,程序就没有办法进行代码的重定位了。进行函数体的重新定位在函数实现在一个DLL中时尤其重要,因为函数一般总是会被重新定位到以一个位置。当然如果在Vista和更新的系统中,启用了地址随机,连EXE的每次加载都不能保证代码在相同的位置上。所以编译器通过转向
解密Win32结构化异常处理机制
"深入Win32结构化异常处理,关注高级Windows调试和破解技术,主要涉及Win32 结构化异常处理(SEH)机制的底层原理和操作系统的实现细节。" Win32结构化异常处理(SEH)是Windows操作系统提供的一种核心异常处理...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值