Windows 系统异常处理顺序总结

最新推荐文章于 2022-03-03 22:54:51 发布
最新推荐文章于 2022-03-03 22:54:51 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: Windows逆向 反调试 工作经验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangmiaoping23/article/details/38729853
版权
首先要明白异常处理是分层的,有:

1.内核异常处理

2.调试器异常处理

3.进程VEH

4.线程SEH

5.系统默认的异常处理函数 UnhandledExcetionFilter().

SetUnhandledExceptionFilter()来注册新的Top Level Exception Filter函数

应用程序触发异常时,系统在前面没有异常处理的情况下,会调用Kernel32.dll中的UnhandledExceptionFilter()函数。

UnhandledExceptionFilter()函数里会利用ntdll.dll中的NtQueryInformationProcess()来判断是否被调试。

若判断在被调试,异常给调试器处理(OD调试器显示无法处理异常,进程终止)。

若判断未被调试,则调用Top Level Exception Filter函数。

默认的Top Level Exception Filter 函数根据 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键中的项来处理.


异常发生时,顺序执行为:
CPU捕获异常->Ring0内核异常处理->Ring3层调试器->Ring3层的异常处理 ntdll.dll中的KiUserExceptionDispatcher(). 
void stdcall KiUserExceptionDispatcher (EXCEPTION_RECORD *er, CONTEXT *con)

注:如int 3,EFlags的Trap Flag,在OD关闭忽略异常,strongOD选项不选,将不会触发KiUserExceptionDispatcher()函数.


KiUserExceptionDispatcher执行流程(根据某一过程的返回值,来决定下一步动作)


Windows 2000:

线程栈中单链表SEH(unwind)->进程SetUnhandledExceptionFilter()注册的函数->系统默认的异常处理Top Level Exception Filter 函数


 XP异常处理顺序:

进程堆中双链表VEH->线程栈中单链表SEH(unwind)->进程SetUnhandledExceptionFilter()注册的函数->系统默认的异常处理Top Level Exception Filter 函数


结合OD的个人调试经验,若想知道整个进程的异常情况,可以在KiUserExceptionDispatcher 下条件断点(shift+F4):

1.异常原因: [[esp]]

Log data
地址       消息
77B46FE8   COND: 异常信息 = 80000003
77B46FE8   断点位于 ntdll.KiUserExceptionDispatcher


2.发生异常的地址:[[esp]+0c]  或者 [[esp+4]+0b8]     (注意:[[esp+4]+b8]将会提示未知的标示符,A-F前面必须加0)

77B46FE8   COND: 异常地址 = 00411C31
77B46FE8   断点位于 ntdll.KiUserExceptionDispatcher

双刃剑客
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows异常处理流程
01-07
文档描述了windows下的异常处理的流程,调用的函数,已经异常的结构等等
操作系统慕课知识点整理1
08-03
Windows操作系统中,线程调度考虑了优先级、时间配额等因素,以确保系统的公平性和响应性。当线程被抢占时,会根据其优先级重新安排执行顺序,以保持系统稳定运行。 总结以上内容,操作系统是计算机的灵魂,它...
【转帖】Windows异常处理流程 - 看雪软件安全论坛
xu的blog
05-13 2506
导读:z 作者:SoBeIt出处:http://www.xfocus.net/articles/200412/761.html日期:2005-01-06先来说说异常和中断的区别。中断可在任何时候发生,与CPU正在执行什么指令无关,中断主要由I/O设备、处理器时钟或定时器等硬件引发,可以被允许或取消。而异常是由于CPU执行了某些指令引起的,可以包括存储器存取违规、除0或者特定调试指令等,内核
windows异常调用顺序
acmumw248662的博客
07-17 71
(一)发生异常时系统的处理顺序(byJeremyGordon,Hume):1.系统首先判断异常是否应发送给目标程序的异常处理例程,如果决定应该发送,并且目标程序正在被调试,则系统挂起程序并向调试器发送EXCEPTION_DEBUG_EVENT消息.2.如果你的程序没有被调试或者调试器未能处理异常,系统就会继续查找你是否安装了线程相关的异常处理例程,如果...
Java多线程编程总结
04-08
例如,Windows系统中的.exe文件就是一个进程。 2. **线程**:线程是进程内部的执行流程,一个进程中可以有多个线程共享同一块内存空间。这意味着线程间的通信和资源共享更加便捷,但也带来了竞态条件和死锁等并发...
嵌入式ARM期末总结.doc
10-04
13. **嵌入式操作系统举例**:常见的嵌入式操作系统Windows CE/Windows Mobile、VxWorks、Linux、uCos、Symbian和QNX。 14. **ARM工作模式**:ARM处理器有7种工作模式,分为非特权模式(如用户模式)和特权模式...
Windows线程生灭[收集].pdf
10-12
每个线程都有自己的异常处理机制,线程间的异常不会相互影响。在多线程环境中,需要谨慎处理异常,以防止未被捕获的异常导致整个进程崩溃。 总结Windows线程的创建和管理是软件开发中的关键技能,理解线程的生命...
基于UDP的windowsSocket编程.pdf
10-11
首先,我们需要包含必要的库文件,如`winsock2.h`和`ws2tcpip.h`,以及标准输入输出和Windows系统库。在源代码的开头,我们看到`#pragma comment(lib, "Ws2_32.lib")`,这是告诉编译器链接到Winsock 2.2的动态链接库...
Windows软件调试学习笔记(四)—— 异常的处理流程
qq_41988448的博客
08-05 1709
软件调试学习笔记(四)—— 异常的处理流程要点回顾异常的处理流程 要点回顾 调试事件有多重类型、例如DLL加载、进程创建、线程创建等等。 其中最关键的调试事件是”异常“。 在调试过程中,不论是软件断点、硬件断点还是INT 3断点,都是通过异常来实现的。 异常的处理流程 流程图: ...
系统故障解析:Windows异常处理流程(转)
coral_1997的博客
08-08 284
  先来说说异常和中断的区别。中断可在任何时候发生,与CPU正在执行什么指令无关,中断主要由I/O设备、处理器时钟或定时器等硬件引发,可以被允许或取消。而异常是由于CPU执行了某些指令引起的,可以包括存储器存取违规、除0或者特定...
异常处理过程
Hmq1025的博客
06-05 324
public class TestDemo { public static String output =""; public static void foo(int i){ try{ if(i == 1){ throw new Exception(); } ...
Windows对异常的处理
南宫封清的博客
11-06 574
异常处理 异常产生后,首先是要记录异常信息(异常的类型、异常发生的位置等),然后要寻找异常的处理函数,称为异常的分发,最后找到异常处理函数并调用,称为异常处理。 异常的分类 cpu产生的异常 执行指令时检测到的错误,除0,GP,无效指令 Machine Check Exceptions, 总线错误,ECC错误,Cache错误 预先埋伏的,int 3,调试异常 程序产生 RaiseException,Win32 API C++,throw Exception,编译器会翻译为对RaiseException
Windows异常处理机制
AlexYoung28的博客
08-22 2244
1.异常分类: 异常是CPU或者程序发生的某种错误,异常处理就是异常产生之后Windows对于产生的错误的一段处理程序。异常分为硬件异常和软件异常。 1.1 硬件异常 硬件异常是由CPU发现的异常,比如说除零异常、内存访问异常,经常看到的错误信息类似于“0xXXXXXX指令引用的0xXXXXX内存,该内存不能为read”等。硬件异常可以分为三种: fault,在处...
Windows异常处理
qq_42814021的博客
11-14 1600
文章目录Windows异常处理SEHSEH的终结处理SEH的异常处理过滤表达式嵌套使用异常处理和终结处理SEH的实现机制局部展开全局展开VEHSEH和VEH的区别 Windows异常处理 Windows系统异常处理有两种: 结构化异常处理(SEH,Structured Exception Handling) 向量化异常处理(VEH,Vectored Exception Handling) SEH Windows定义了SEH机制来规范异常处理代码的设计(对程序员)和编译(对编译器)。 SEH 提供了
windows异常处理
Starr
10-21 518
文章目录中断和异常异常分类windows异常处理SEHtry+finallyexceptUEHVEHVCH顺序 中断和异常 注意,两者谁也不包含谁。 中断由外部硬件产生。如敲键盘、点鼠标。并且这是异步事件(可不处理)。 异常是指cpu内部问题,是一个同步事件(必须处理)。 总之,cpu外部中断简称中断,cpu内部中断就叫异常。 外部中断由pic控制(与if有关),中断发生时,cpu从pic读取两...
异常处理讲解
chelp的专栏
03-23 806
异常处理机制
-异常处理-
weixin_52369224的博客
03-03 584
简介: 异常分为俩种,CPU产生的异常(除0,缺页)和软件模拟产生的异常 来自《加密与解密》 SEH: SEH是Windows操作系统提供的异常处理机制,在程序源代码中使用_try、__except、_finally关键字来具体实现。 TEB/T: typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; //异常的链表 PVOID StackBase;
windows 修改系统启动顺序
最新发布
08-31
要修改Windows系统的启动顺序,可以按照以下步骤操作: 1. 首先,打开电脑并进入到Windows系统。确保你拥有管理员权限以进行修改。 2. 在Windows系统中,点击“开始”按钮,并输入“控制面板”来打开控制面板。 3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值