标签:默认 pop 详细 拒绝 一个 sha 覆盖 pre 多个
平时程序发生异常都是系统来处理的,但是Windows其实也允许让我们自己来处理异常。第一种方法就是使用筛选器处理异常。
筛选器处理异常的方式是指定一个异常回调函数,当程序发生异常的时候,系统就会去调用这个函数,然后在函数里面我们可以自己来处理这个异常,可以选择退出或者是跳转到安全的地方执行代码。或者想干其他的也行。要注意,这个回调函数在进程范围内是唯一的,如果设置了很多回调函数,只会以最新的那个为准。
使用筛选器处理异常
注册筛选器异常回调函数的函数是SetUnhandledExceptionFilter。
invoke SetUnhandledExceptionFilter,offset Handler
mov lpPrevHandler,eax
该函数唯一的参数就是异常回调函数的地址。函数执行成功返回值是上一次设置的回调函数的入口地址。如果参数是NULL,那么发生异常时,系统会直接把这个一异常送到系统默认处理的地方。
异常回调函数的写法也有格式规定。
_Handler proc lpExceptionInfo
函数只有一个参数,这个参数是系统传给它的。该参数是一个指针,指向一个EXCEPTION_POINTERS结构,该结构包含了产生异常的原因和详细的信息。该结构定义如下:
EXCEPTION_POINTERS STRUCT pExceptionRecord DWORD ? ContextRecord DWORD ? EXCEPTION_POINTERS ENDS
该参数只有两个字段,但是两个字段又分别指向不同的结构,第一个字段指向一个EXCEPTION_RECORD结构,该结构包含了异常的原因以及发生的位置等。结构的定义如下:
EXCEPTION_RECORD STRUCT ExceptionCode DWORD ? ;异常事件码 ExceptionFlags DWORD ? ;标志 pExceptionRecord DWORD ? ;下一个EXCEPTION_RECORD结构地址 ExceptionAddress DWORD ? NumberParameters DWORD ? ExceptionInformation DWORD ? EXCEPTION_RECORD ENDS
该结构的第一个字段是一个异常事件码。它指定了异常发生的原因。异常发生的原因都已经被预定成了一系列以EXCEPTION_开头或者以STATUS_开头的常量。异常原因码代表的原因可以在MSDN中查看。
后面一个字段指向一个CONTEXT结构,该结构存储的就是线程的环境,对一个线程来说,线程环境其实就是寄存器的状态,所以在系统传给回调函数的参数里面的这个结构里面存储的,其实就是异常发生时的寄存器状态。
1 CONTEXT STRUCT 2 ContextFlags DWORD ? 3 iDr0 DWORD ? 4 iDr1 DWORD ? 5 iDr2 DWORD ? ; 调试寄存器 6 iDr3 DWORD ? 7 iDr6 DWORD ? 8 iDr7 DWORD ? 9 FloatSave FLOATING_SAVE_AREA <> ;浮点寄存器区 10 regGs DWORD ? 11 regFs DWORD ? 12 regEs DWORD ? 13 regDs DWORD ? 14 regEdi DWORD ? 15 regEsi DWORD ? 16 regEbx DWORD ? 17 regEdx DWORD ? 18 regEcx DWORD ? 19 regEax DWORD ? 20 regEbp DWORD ? 21 regEip DWORD ? 22 regCs DWORD ? 23 regFlag DWORD ? 24 regEsp DWORD ? 25 regSs DWORD ? 26 ExtendedRegisters db MAXIMUM_SUPPORTED_EXTENSION dup(?) 27 CONTEXT ENDS
该结构也可以在MSDN中查看。
在函数中,我们可以做我们想做的事。但是最后的返回值要按照规定来,最后的返回值有三种:
所以我们可以采用返回第三种参数的方式,在函数里面将CONTEXT结构里面的EIP寄存器改为安全位置的地址,然后函数执行完后就会直接返回到我们的安全位置去执行。
使用SEH处理异常
前一种用筛选器处理异常的办法虽然简单,但是也有它的局限性。筛选器处理异常的回调函数在整个异常中只能有一个,也就是说如果一个进程又很多个线程,这些线程的异常处理回调函数也就只有这一个,它无法专门给某个线程或者模块处理异常。但是SEH就可以,相对来说也麻烦一点。
同样的,使用SEH来处理异常也要注册回调函数。但是不同的是它的注册方式。注册SEH异常处理回调函数不像筛选器处理异常回调函数是用一个函数来完成的,它是通过FS段寄存器来安装的。
要知道怎么使用SEH异常处理,就要先了解一下它的原理。WIN32为每个线程定义了一个结构,这个结构叫NT_TIB。该结构定义如下:
NT_TIB STRUCT ExceptionList dd ? ;SEH链入口 StackBase dd ? ;堆栈基址 StackLimit dd ? ;堆栈大小 SubSystemTib dd ? FiberData dd ? ArbitraryUserPointer dd ? Self dd ? NT_TIB ENDS
这个结构里面最主要的就是第一个字段,这个字段又指向一个,这个结构的名字叫EXCEPTION_REGISTRATION,这个结构就重要了,我们的异常回调函数的地址就要放里面。该结构的定义如下:
EXCEPTION_REGISTRATION STRUCT prev dd ? handler dd ? EXCEPTION_REGISTRATION ENDS
结构的第一个字段是前一个EXCEPTION_REGISTRATION结构的地址,第二个参数就是我们的异常处理回调函数的地址。因为这个结构里面存着上一个结构的地址,上一个结构又存着上上个结构的地址,所以这样就形成了一条链,这个就是SEH链,这个概念待会再介绍。
所以我们要注册一个SEH异常处理回调函数就只用把函数地址给填到这个结构里就行了。但是这个结构在哪呢?答案就是FS段寄存器。NT_TIB结构永远存放在FS段寄存器指定的数据段的0偏移处。也就是说FS:[0]这个地方就是NT_TIB结构的起始位置,而这个结构的起始位置也就是该结构的ExceptionList字段的位置,也就是EXCEPTION_REGISTRATION结构的地址。
所以一般我们这样注册回调函数:
push offset _Handler push fs:[0] mov fs:[0],esp
第一步,先把异常处理回调函数的地址压入栈,第二步,将FS:[0]处的数据,也就是NT__TIB结构的第一个字段所指向的结构EXCEPTION_REGISTRATION的地址压入栈。然后第三步,把寄存器ESP的值赋值给FS:[0]。
原来的时候FS:[0]所在的地方是ExceptionList字段,这个地方放的数据,就是EXCEPTION_REGISTRATION结构的地址。这个地址后面被压入ESP所指向的地方,然后我们最后把ESP的值(ESP里面的数据是一个地址,这个地址所指向的地方就是之前被压入栈的EXCEPTION_REGISTRATION结构的地址)放入FS:[0]的地方,这里存放的就是EXCEPTION_REGISTRATION结构的地址,而现在这里是ESP的值,也就是说此刻ESP的值就是EXCEPTION_REGISTRATION结构的地址。也就是说[esp]是原来的结构的地址,esp的值是现在这个新的结构的地址。
这样一来,ESP以及ESP+4这两个位置就构成了一个新的EXCEPTION_REGISTRATION结构。ESP对应的就是字段prev位置,然后ESP+4对应的就是字段handler的位置 。
异常发生的时候,系统就会从FS:[0]中取出EXCEPTION_REGISTRATION结构的地址,也就是在完成上面三步操作后ESP的值([ESP]的地方是原来的EXCEPTION_REGISTRATION结构的地址)。然后再从[ESP+4]的地方取得回调函数的地址。
当不需要回调函数之后,要把FS:[0]恢复成之前的数据,也就是恢复原来的SEH链,还要平衡一下堆栈:
pop fs:[0] pop eax
第二条指令就是为了恢复堆栈。
了解了怎么注册SEH异常处理的回调函数之后,就应该了解SEH的回调函数怎么写了。它的回调函数和之前的筛选器异常处理回调函数不一样,它的参数就比较多了。函数的声明格式一般如下定义:
_Hnadler proc C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext
细心就会注意到,该函数的传参方式用的是C格式的而不是stdcall格式的。但是这个对我们使用它没有什么影响,因为是系统来调用它的。
这里对我们有用的就是前三个参数,一般也就只用前三给参数,所以这里只介绍一下前三个参数。
这个函数的参数大概就是这样。但是我们之前有说可以让异常发生后程序跳转到安全的地方去执行。所以我们应该把安全位置的地址也传入函数数中,这个时候就可以用到第二个参数了。
如果要传额外的参数,那么在注册回调函数的的时候就要这样做:
push ebp ;额外的参数 push offset _SafePlace ;额外的参数 push offset _ Handler push fs:[0] mov fs:[0],esp
这样操作之后,我们在回调函数里面取出参数_lpSEH的值,然后这个值加加8的地方,就是安全位置的地址。所以在回调函数里面一般这样写:
_Handler proc C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext pushad mov esi,_lpExceptionRecord mov edi,lpContext assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT mov eax,_lpSEH push [eax + 8] ;入栈的就是安全位置的地址 pop [edi].regEip push [eax + 0ch] ;原来的ebp的值 pop [edi].regEbp push eax pop [edi].regEsp ;原来的esp的位置 assume esi:nothing,edi:nothing popad mov eax,ExceptionContinueExecution ret _Handler endp
在函数里面,我们将线程环境,修改为我们需要的。也就是把CONTEXT结构里的regEip改成安全位置的地址,对应的就是之前注册回调函数第二个压入栈的数据。这样当函数返回时,就会将EIP设置为这个值,然后就正好从安全位置开始执行。
然后我们还把原来的ESP和EBP的值都设置了,那样函数返回时线程环境就是异常发生前的样子了。
SEH异常处理回调函数的返回值有4个:
SEH链和异常的传递
之前有说到,SEH异常处理回调函数可以为每个线程或者模块都存在一个。但是它们的注册都是由先后顺序的,不一定在这个线程的回调函数注册完之后正好这个线程的异常就发生了。那么当程序中出现异常的时候,到底系统会调用哪个回调函数呢。
我们知道在每一个EXCEPTION_REGISTRATION结构里面都存了上一个EXCEPTION_REGISTRATION结构的地址,所以当我们注册了很多异常回调函数之后,这些EXCEPTION_REGISTRATION结构就构成了像一条链子一样的结构。
线程信息块(NT_TIB) EXCEPTION_REGISTRATION 异常处理程序(回调函数)
(图片不清晰,只能这样标注一下)
上图就是SEH链的示意图。中间那块是互相联系的EXCEPTION_REGISTRATION结构。当程序发生异常时,系统按照以下步骤来处理:
下面给出一个使用SEH异常处理的例字程序的源代码:
1 .386 2 .model flat,stdcall 3 option casemap:none 4 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 5 include windows.inc 6 include user32.inc 7 includelib user32.lib 8 include kernel32.inc 9 includelib kernel32.lib 10 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11 ;数据段 12 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 13 .const 14 szMsg db ‘异常发生位置:%08x,异常代码: %08x,标志:%08x‘,0 15 szSafe db ‘回到了安全的地方!‘,0 16 szCaption db ‘SEH例子‘,0 17 18 .code 19 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 20 ;SEH Handler 异常处理程序 21 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 22 _Handler proc C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext 23 24 local @szBuffer[256]:byte 25 26 pushad 27 mov esi,_lpExceptionRecord 28 mov edi,_lpContext 29 assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT 30 invoke wsprintf,addr @szBuffer,addr szMsg,[edi].regEip,[esi].ExceptionCode,[esi].ExceptionFlags 31 invoke MessageBox,NULL,addr @szBuffer,NULL,MB_OK 32 mov eax,_lpSEH 33 push [eax + 8] 34 pop [edi].regEip 35 push [eax + 0ch] 36 pop [edi].regEbp 37 push eax 38 pop [edi].regEsp 39 assume esi:nothing,edi:nothing 40 popad 41 mov eax,ExceptionContinueExecution 42 ret 43 44 _Handler endp 45 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 46 start: 47 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 48 ;在堆栈中构造一个EXCEPTION_REGISTRATION 49 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 50 assume fs:nothing 51 push ebp 52 push offset _SafePlace 53 push offset _Handler 54 push fs:[0] 55 mov fs:[0],esp 56 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 57 ;将引发异常的指令 58 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 59 xor eax,eax 60 mov dword ptr [eax],0 ;这个指令将产生异常 61 62 _SafePlace: 63 invoke MessageBox,NULL,addr szSafe,addr szCaption,MB_OK 64 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 65 ;恢复原来的SEH链 66 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 67 pop fs:[0] ;恢复原来的结构地址 68 invoke ExitProcess,NULL 69 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 70 end start 71 72 73
异常处理回调函数和之前演示的栗子几乎一样,就是多了一个显示信息的窗口。在52行那里特地造成一个内存写入异常,然后程序运行到这就会发生中断,接着就会去调用异常处理回调函数。
当程序发生异常然后执行完回调函数回到安全位置之后,先显示一个窗口显示回到了安全的位置。然后恢复原来的SEH链。
运行程序:
出现这个窗口后点击确定就跳到下面这个窗口。
可以看到第一个窗口显示的信息也没有错,正是我们在程序中故意设置错误的地方。这样就说明这个SEH异常处理回调函数安装成功了。
SEH异常处理还有一个很重要的东西就是:展开操作。但是这个书上没有很详细的讲,我看的也不是很懂。大概意思好像就是如果为一个程序安装了一个SEH异常处理回调函数,然后又为程序里面的一个子程序安装SEH异常处理回调函数。这样在栈里面两个EXCEPTION_REGISTRATION结构会挨得很近,当子程序里面发生异常,但是子程序的回调函数不能处理的的时候,系统会去调用程序的回调函数,这个时候ESP指向一个程序的EXCEPTION_REGISTRATION结构和子程序的EXCEPTION_REGISTRATION结构之间的位置,如果接着程序进行了一些入栈或者出栈的操作,很可能会原来的子程序的EXCEPTION_REGISTRATION结构会被覆盖冲掉,如果再发生一次异常,系统就会调用一个无效的回调函数的地址。
而展开操作,就是将步处理异常的回调函数给卸载了,比如,如果一个程序的回调函数都不处理一个异常,并且最后由系统来处理了这个异常,那么所有的回调函数都会被再调用一次,这时函数要做的就是进行一些扫尾工作,然后返回ExceptionCollidedUnwind字段。当某一个回调函数发起展开操作(也就说明,从第一个回调函数开始,一直到它才处理这个异常,那么那些不处理异常的回调函数全部都要卸载),系统就会以EXCEPTION_UNWIND代码和EXCEPTION_UNWINDING代码去依次调用每个回调函数,这两个代码就是告诉函数你要被卸载了,一直调用到处理异常的那个回调函数。然后将这个回调函数之前的所有回调函数卸载。最后,这个发起展开操作的回调函数就成了SEH链上的第一个回调函数。
这样做就可以避免调用一个无效回调函数的地址的情况。
所以如果要写一个强壮一点的回调函数,可以在回调函数里面加一条分支语句,如果这个错误本函数可以解决,那么就进行展开操作。具体怎么进行展开操作的话,书上就更没仔细讲了。
一种方法是用一个循环以EXCEPTION_UNWINDING标志调用之前的每一个回调函数,完事后再重新设置一下FS:[0]。
另一种方法是调用RtlUnwind函数,这个函数似乎没公开(书上写的,不知道现在公开了没),但是网上应该查得到,有兴趣的可以查一下。
(应该是这样,如果有错误请大佬指出)。
标签:默认 pop 详细 拒绝 一个 sha 覆盖 pre 多个
原文地址:https://www.cnblogs.com/hznhh/p/12595662.html