DLL注入 + VEH 的方式处理异常

最新推荐文章于 2024-05-14 21:39:10 发布
最新推荐文章于 2024-05-14 21:39:10 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: Windows原理 文章标签: 异常处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yusakul/article/details/84677992
版权

从个人年久失修的git博客搬运

  • test.cpp
#include "stdafx.h"
#include <process.h>

int main()
{
	printf("输入\n");
	int a, b;
	scanf_s("%d", &a);
	b = 1 / a;
	printf("%d\n", b);
	system("pause");
    return 0;
}
  • dllmain.dll
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
#include "stdio.h"
#include "windows.h"

LONG WINAPI veh(EXCEPTION_POINTERS* pExce)
{
	if (pExce->ExceptionRecord->ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO)
	{
		pExce->ContextRecord->Eip += 3;
		printf("fdsf\n");
	return EXCEPTION_CONTINUE_EXECUTION;
	}

	return EXCEPTION_CONTINUE_SEARCH;
} 

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		//1. 将异常处理函数注册到系统
		AddVectoredExceptionHandler(TRUE, veh);
		printf("注册异常处理函数成功!\n");
		break;
	case DLL_THREAD_ATTACH:
		break;
	case DLL_THREAD_DETACH:
		break;
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}
  • 注入器
// 远程注入.cpp: 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"


bool injectDll(DWORD dwPid, const char* pszDllPath);

int main()
{
	DWORD dwPid;
	char szDllPath[MAX_PATH] = { "C:\\Users\\Administrator\\source\\repos\\VEH_Dll\\Debug\\VEH_Dll.dll"};

 	printf("输入要注入到的进程PID:");
 	scanf_s("%d[*]", &dwPid);

	injectDll(dwPid, szDllPath);
    return 0;
}

bool injectDll(DWORD dwPid, const char* pszDllPath)
{
	bool	bRet = false;
	HANDLE	hProcess = 0;
	HANDLE	hRemoteThread = 0;
	LPVOID	pRemoteBuff = NULL;
	SIZE_T 	dwWrite = 0;
	DWORD	dwSize = 0;

	//打开进程
	hProcess = OpenProcess(
		PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE,/*创建线程和写入内存权限*/
		FALSE, dwPid/*进程ID*/);

	if (hProcess == NULL)
	{
		printf("打开进程失败,可能由于本程序的权限太低,请以管理员身份运行再尝试\n");
		goto _EXIT;
	}

	
	//1. 在远程进程上开辟内存空间
	pRemoteBuff = VirtualAllocEx(
		hProcess,
		NULL,
		64*1024,/*大小:64Kb*/
		MEM_COMMIT,/*预定并提交*/
		PAGE_EXECUTE_READWRITE/*可读可写可执行的属性*/
		);
	if (pRemoteBuff == NULL)
	{
		printf("在远程进程上开辟空降失败\n");
		goto _EXIT;
	}


	//2. 将DLL路径写入到新开的内存空间中
	dwSize = strlen(pszDllPath) + 1;
	WriteProcessMemory(
		hProcess,
		pRemoteBuff,/* 要写入的地址 */
		pszDllPath,	/* 要写入的内容的地址*/
		dwSize,		/* 写入的字节数 */
		&dwWrite	/* 输入:函数实际写入的字节数*/
	);

	if (dwWrite != dwSize)
	{
		printf("写入Dll路径失败\n");
		goto _EXIT;
	}


	//3. 创建远程线程
	//   远程线程创建成功后,DLL就会被加载,DLL被加载后DllMain函数
	//	 就会被执行,如果想要执行什么代码,就在DllMain中调用即可.

	hRemoteThread = CreateRemoteThread(
		hProcess,
		0, 0,
		(LPTHREAD_START_ROUTINE)LoadLibraryA,  /* 线程回调函数 */
		pRemoteBuff,							/* 回调函数参数 */
		0, 0);

	// 等待远程线程退出.
	// 退出了才释放远程进程的内存空间.
	WaitForSingleObject(hRemoteThread, -1);


	bRet = true;


_EXIT:
	// 释放远程进程的内存
	VirtualFreeEx(hProcess, pRemoteBuff, 0, MEM_RELEASE);
	// 关闭进程句柄
	CloseHandle(hProcess);

	return bRet;
}
yusakul
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN10使用VEH+硬件断点实现不修改代码完成破解
hambaga的博客
09-01 4191
为什么要使用硬件断点? 有些程序会启动一个线程,实时检测代码节是否被修改,这样可以防止作弊者使用OD调试程序时下CC断点,这种技术叫全代码检测或CRC检测。为了绕过这种检测,大佬们想出了很多办法: 干掉CRC线程 干掉CRC函数的判断 绕过CRC检测的位置,到更底层去修改 硬件HOOK 其他HOOK,欺骗CRC检测函数(虚表HOOK) 干掉退出函数(ExitProcess) 本文介绍的是硬件断点(硬件HOOK)。 硬件断点原理 当执行到某个指令,DR0寄存器中存储了这条指令的地址,就会触发异常。如果使用
VFB组件:VEH控件(异常
yfvb2010的专栏
12-30 421
这是功能控件,用于捕捉异常, 向量化异常处理,当程序发生崩溃后执行的代码。 编写过软件都知道,软件发生崩溃很难避免,当软件发生崩溃后,软件就突然消失了,当安装过VC等编程软件后,系统会提示异常,比如: 而我们则做不了任何事情,有了VEH控件 ,发生这样的事情后,就会执行我们自己的代码 此时我们可以做保存啊,之类的代码,还可以获取寄存器的值,用于汇编调试。 VFB工具菜单里,已经带有 汇编调试器 在工程属性里,保存代码地图,那么可以根据崩溃地址,从地图上找到是处于那个函数里面...
CE-VEH下段崩溃处理.e
02-15
最新 CE VEH下段处理 源码 win7 win110 都测试过了 全部可以正常使用 声明:个别win10不能使用的话 请自己换系统 谢谢
x64驱动级DLL注入DLL进有保护游戏
最新发布
hzw320的博客
05-14 175
只有同等级的对抗,才能解决,为了方便使用我们的新版 Game-EC USB模块的学员,面对有保护的游戏可以轻松注入自己的辅助DLL文件到游戏进程,现在很多游戏有保护,它们禁止第三方程序对游戏进程注入dll文件,主要目的就是防止写辅助的。当然游戏的保护,也只是防止普通的应用层的注入方式,比如: 普通的线程,内存,钩子注入等。因为游戏的保护是驱动内核级,所以想要把DLL注入到游戏进程里,必须注入方式也是驱动内核级。这个功能,它可以把dll文件注入到 有保护和无保护的游戏进程中去。
Windows异常学习笔记(三)—— VEH&SEH
qq_41988448的博客
01-11 1418
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
向量化异常处理程序 继续处理程序 veh 例子
whitehack的专栏
03-22 8438
<br /> <br />继续处理程序不知为何 竟然不触发!<br /> <br />#include <WindowsX.h> #include <atlstr.h> //可以用 cstring了 #include <stdio.h> #include <locale> #include <CommCtrl.h>//windows通用控件接口 LPTOP_LEVEL_EXCEPTION_FILTER pprev=NULL; // Returns the HMODULE that contain
C#调用C++dll文件的异常处理 ——“尝试读取或写入受保护的内存。这通常指示其他内存已损坏。”
Fhb_2018的博客
06-29 1816
今天在C#中调用了C++dll中的方法,这个方法中包括了两个参数,其中一个参数是一个结构体,在定义这个方法的时候,忘记在结构体参数前边添加 “ref” 所以导致异常。参考了这篇文章(https://blog.csdn.net/qq_25528267/article/details/87877773),想起来结构体前边要添加ref。定义的时候添加上“ref”,调用的时候添加 “ref”,就没有问题了。 ...
VEH硬件断点劫持
07-17
在Windows系统中,VEH( vectored exception handling)是用于处理异常和中断的一种机制,可以被利用来实现对程序执行流程的控制。这种技术通常被安全研究人员、软件开发者和恶意代码分析者用来深入理解程序行为或...
软件加密技术内幕
03-19
4.7 Windows XP下的向量化异常处理VEH) 第5章 软件加密技术 5.1 反调试技术(Anti-Debug) 5.1.1 句柄检测 5.1.2 SoftICE后门指令 5.1.3 int68子类型 5.1.4 ICECream子类型 5.1.5 判断NTICE服务是否运行...
CheatEngine-v6.1
06-12
7. **其他工具**:像vehdebug-x86_64.dllvehdebug-i386.dll这样的文件,可能包含了用于调试的车辆(VEH)和异常处理(SEH)相关的功能。 8. **文档支持**:CheatEngine.chm是一个帮助文件,包含了详细的使用指南...
Cheat Engine
qiuxue110的专栏
02-20 2825
CE Detach 当用CE使用调试器附加到指定进程时,ollydbg是无法在进行Attach该进程。 两种方法可以让ollydbgAttach该进程。 ①、关闭CE(强烈不推荐)。 ②、在不关闭CE的前提下,使CE重新打开该进程。 它将尝试分离,它这样做是因为它认为您正在转向一个新流程。 ...
易语言 完美硬断源码
08-11
修改的硬断,完美支持某讯game,
win7,win10注入CSRSS 不蓝屏
04-22
winXp,win7 32 , win7 64 ,win10注入CSRSS蓝屏 这是一个重要的进程,他会随系统的启动而自动开启并一直运行。在大多数情况下它是安全的,你不应该将其终止;但也有与其类似的病毒出现
调试程序
ymangu的专栏
04-10 687
1. android的调试界面
【Intellij IDEA】打开IDEA时错误:Failed to load JVM DLL ...\jvm.dll
大白的求知路
04-01 3万+
1.问题: 打开Intellij IDEA 的时候出错,弹窗显示如图 2.分析: 原因1:JDK版本和当前打开的IDEA版本不一致(指的是32位/64位) 原因2:环境变量没有设置对 3.解决: 原因1:更换JDK版本/选择 ①右击桌面的快捷方式,选择属性,选择打开文件所在的位置 ...
【软件安装故障排除】安装完PyCharm,启动时弹出“Failed to load JVM DLL\bin\server\jvm.dll“解决方案
热门推荐
u013751642的博客
09-12 7万+
(1)下载JDK_8.0.1310.11_32bit;(下载链接:https://pan.baidu.com/s/16Wsq3S1isYAHLIPEJujymw 密码:hf2n)(1)安装Microsoft Visual C++ 2010 Redistributable Package;(2)配置环境变量:JAVA_HOME;(3)重启电脑让配置的环境变量生效;(4)运行PyCharm,问题解决。(2)然后再运行pycharm;
异常与调试之SEH、UEH、VEH、VCH以及SEH的区别总结——简单好理解
TCP_321的博客
12-08 6364
1.VEH (向量异常) // VEH: 向量化异常处理的一种,被保存在一个全局的链表中,进程内的所有线程都可 // 以使用这个函数,是第一个处理异常的函数。 异常处理函数: LONG NTAPI AddVectoredExceptionHandler( _In_UlON First, 异常处理函数被调用的顺序 _In_PVECTORED_EXECUTE_HANDLER Handler 异常处理回调函数 ) AddVectoredExceptionHandler(TRUE...
无痕HOOK方式=硬断+VEH
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
使用veh 给MessageBox设置异常 并接管的例子
07-10
以下是一个使用VEH机制来拦截并接管MessageBox函数的异常的示例代码: ```c++ #include <Windows.h> // Vectored Exception Handler函数 LONG WINAPI VehHandler(PEXCEPTION_POINTERS pExceptionInfo) { // 判断异常类型为访问冲突异常 if (pExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_ACCESS_VIOLATION) { // 恢复异常现场,使程序继续执行 pExceptionInfo->ContextRecord->Eip += 2; // 跳过引发异常的指令,使其继续执行 // 弹出自定义的消息框 MessageBox(NULL, "Exception occurred!", "Custom Exception", MB_OK | MB_ICONERROR); // 返回处理结果,终止异常处理链 return EXCEPTION_EXECUTE_HANDLER; } // 返回继续搜索异常处理链 return EXCEPTION_CONTINUE_SEARCH; } int main() { // 注册Vectored Exception Handler PVOID pHandler = AddVectoredExceptionHandler(1, VehHandler); if (pHandler == NULL) { // 处理注册失败情况 // ... return 1; } // 触发访问冲突异常 int* p = nullptr; *p = 42; // 移除Vectored Exception Handler RemoveVectoredExceptionHandler(pHandler); return 0; } ``` 在上述代码中,我们定义了一个VEH处理函数`VehHandler`,它会在异常发生时被调用。在`VehHandler`中,我们首先判断异常类型是否为访问冲突异常(EXCEPTION_ACCESS_VIOLATION),如果是,则进行自定义的异常处理逻辑。在本例中,我们跳过引发异常的指令(使程序继续执行),然后弹出一个自定义的消息框来通知异常发生。最后,我们返回`EXCEPTION_EXECUTE_HANDLER`来终止异常处理链。 在`main`函数中,我们首先注册VEH处理函数,然后触发一个访问冲突异常(通过对空指针进行解引用)。当异常发生时,VEH处理函数将被调用,执行我们定义的异常处理逻辑。最后,我们移除VEH处理函数并结束程序。 请注意,上述代码只是一个简单示例,实际使用VEH机制需要根据具体需求进行详细的异常处理和错误处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值