[原创]SEH分析笔记（X86篇）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]SEH分析笔记（X86篇）

发表于: 2011-10-5 12:46 37084

[原创]SEH分析笔记（X86篇）

boxcounter 活跃值

2011-10-5 12:46

37084

查看主题内容

收藏・101

免费・10

支持

最新回复 (49) ◀ 1 2
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 26 楼好东西收藏了谢谢楼主的分享！ 2011-10-8 22:31 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 27 楼学习了。。。。 2011-10-9 00:15 0
imatc 雪币： 265 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 1 关注私信	imatc 28 楼好好学习下~ 2011-10-9 10:53 0
kelvar 雪币： 49 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kelvar 29 楼多谢LZ分享。SEH刚开始接触。来学习下 2011-10-10 20:47 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 30 楼辛苦了感谢分享晚上细细品读一下 ~ 2011-10-11 17:41 0
BestHacker 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	BestHacker 31 楼多谢，好文。。。 2011-10-12 16:05 0
xiaoboshi 雪币： 176 活跃值： (206) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xiaoboshi 32 楼花了点时间看了下，好文，不仅让人知其然，更让人知其所以然。只是有点疑惑，异常处理完成后，为什么不是从异常点继续执行，而是从异常处理后面的代码继续执行？接触不深，问题较菜，求解。 2011-10-12 16:38 0
sanyoo 雪币： 56 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	sanyoo 33 楼好文章，慢慢学习 2011-10-12 17:33 0
boxcounter 雪币： 342 活跃值： (199) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 35 粉丝 18 关注私信	boxcounter 2 34 楼是从异常点继续执行还是顺着异常处理的代码块继续执行，是由程序猿提供的 lpfnFilter（即 __except 括号内的代码）的返回值决定的。如果需求是前者，那么可以返回 EXCEPTION_CONTINUE_EXECUTION；如果是后者那么可以返回 EXCEPTION_EXECUTE_HANDLER 2011-10-12 20:48 0
xiaoboshi 雪币： 176 活跃值： (206) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xiaoboshi 35 楼原来如此，异常处理后不像正常函数执行那样通过ret返回调用者，而是根据lpfnFilter的返回值，直接跳到异常处理后面的代码，或者异常点继续执行，不知我理解是否对？ 2011-10-13 17:44 0
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 36 楼下载附件看，帖子太长了 2011-10-18 10:06 0
suiyu 雪币： 1283 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	suiyu 37 楼收藏起来，慢慢研究！感谢！ 2011-10-19 09:52 0
linix 雪币： 224 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	linix 38 楼楼主看了两天就这么厉害了?大概看了多久啊? 交流下哈,看的时候这里一直困惑: 你写的如下://好象软件调试中也是这么说的如果 PreviousMode 是 KernelMode，那么，如果 FirstChance 为 TRUE，那么将该异常传达给内核调试器，如果内核调试器没有处理，那么调用 RtlDispatchException 进行处理。如果 FirstChance 为 FALSE，那么再次将该异常传达给内核调试器，如果内核调试器没有处理，那么 BUGCHECK。我翻别的资料有这么说的: 用户态和内核态第一次机会给调试器,第2次机会给注册的异常处理器。如果在内核态抛出了异常并自己处理（比如除零异常自己修改除数和调整EIP），按你上面的提法如果调试器不处理就只能蓝屏？纯粹交流哈， 2011-10-19 22:00 0
boxcounter 雪币： 342 活跃值： (199) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 35 粉丝 18 关注私信	boxcounter 2 39 楼分析和写这篇笔记大概用了40个小时左右，但是目前在分析x64异常处理的过程中发现自己对x86这块还没有完全吃透，目前正在分析琢磨，希望晚一些能对这个笔记进行一些补充。另外，如果自己抛出的异常，内核调试器（如果存在，后续简称KD，我懒……）会先得到处理机会，如果KD没有处理，则使用 RtlDispatchException 开始常规的异常派发，这个时候就会调用自己提供的异常处理。如果处理了整个异常派发就结束了，不会再给回到 KD。如果整个异常链上没有任何处理块能处理，那么要不就再给 KD 一次机会，要么就就 BSOD。需要说明的是，内核态除零异常直接 BSOD，不会给 KD 机会，也不会给程序猿提供的异常处理机会 [欢迎交流这篇笔记难免会因为我个人水平的问题出现纰漏或错误，之所以分享出来也是希望能有对这块同样感兴趣的朋友一起讨论，纠正我的错误，大家一起吃透它。] 2011-10-20 07:51 0
raigeki 雪币： 328 活跃值： (154) 能力值： ( LV12，RANK：310 ) 在线值：发帖 10 回帖 106 粉丝 2 关注私信	raigeki 7 40 楼 mark，学习，路过，…… 2011-10-20 08:25 0
smilysas 雪币： 413 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	smilysas 41 楼顶LZ! 新手入门，认真学习下LZ的SEH理解，更要学习LZ的态度！ 2011-10-20 17:44 0
linix 雪币： 224 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	linix 42 楼恩,这几天又看了些,楼主确实吃的比我透点. 2011-10-30 22:23 0
jimdlf 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	jimdlf 43 楼不错正巧最近也在学习异常的处理！！收藏下 2011-11-3 02:48 0
boxcounter 雪币： 342 活跃值： (199) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 35 粉丝 18 关注私信	boxcounter 2 44 楼更新记录： v1.0.2, 2011-10-31：调整若干描述语句；增加 ExceptionNestedException 返回值的补充说明。 2011-11-4 20:01 0
lionxyes 雪币： 890 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	lionxyes 2 45 楼感谢楼主，学习了，楼主的精神让人感动呀 2012-2-27 13:02 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 46 楼喜欢这样的技术贴。 2012-2-27 21:51 0
shenmumu 雪币： 195 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	shenmumu 47 楼谢谢了，好东西呀 2012-3-3 12:12 0
不同意雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	不同意 48 楼下载了，慢慢学习，老了，学不动了，很感谢 2018-10-18 22:02 0
maomaolk 雪币： 697 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	maomaolk 49 楼 mark 2019-3-5 15:58 0
qiantang 雪币： 163 活跃值： (677) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 35 粉丝 11 关注私信	qiantang 50 楼感谢 2022-3-15 16:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

boxcounter

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 26 楼好东西收藏了谢谢楼主的分享！ 2011-10-8 22:31 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 27 楼学习了。。。。 2011-10-9 00:15 0
imatc 雪币： 265 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 1 关注私信	imatc 28 楼好好学习下~ 2011-10-9 10:53 0
kelvar 雪币： 49 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	kelvar 29 楼多谢LZ分享。SEH刚开始接触。来学习下 2011-10-10 20:47 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 30 楼辛苦了感谢分享晚上细细品读一下 ~ 2011-10-11 17:41 0
BestHacker 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	BestHacker 31 楼多谢，好文。。。 2011-10-12 16:05 0
xiaoboshi 雪币： 176 活跃值： (206) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xiaoboshi 32 楼花了点时间看了下，好文，不仅让人知其然，更让人知其所以然。只是有点疑惑，异常处理完成后，为什么不是从异常点继续执行，而是从异常处理后面的代码继续执行？接触不深，问题较菜，求解。 2011-10-12 16:38 0
sanyoo 雪币： 56 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	sanyoo 33 楼好文章，慢慢学习 2011-10-12 17:33 0
boxcounter 雪币： 342 活跃值： (199) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 35 粉丝 18 关注私信	boxcounter 2 34 楼是从异常点继续执行还是顺着异常处理的代码块继续执行，是由程序猿提供的 lpfnFilter（即 __except 括号内的代码）的返回值决定的。如果需求是前者，那么可以返回 EXCEPTION_CONTINUE_EXECUTION；如果是后者那么可以返回 EXCEPTION_EXECUTE_HANDLER 2011-10-12 20:48 0
xiaoboshi 雪币： 176 活跃值： (206) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xiaoboshi 35 楼原来如此，异常处理后不像正常函数执行那样通过ret返回调用者，而是根据lpfnFilter的返回值，直接跳到异常处理后面的代码，或者异常点继续执行，不知我理解是否对？ 2011-10-13 17:44 0
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 36 楼下载附件看，帖子太长了 2011-10-18 10:06 0
suiyu 雪币： 1283 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	suiyu 37 楼收藏起来，慢慢研究！感谢！ 2011-10-19 09:52 0
linix 雪币： 224 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	linix 38 楼楼主看了两天就这么厉害了?大概看了多久啊? 交流下哈,看的时候这里一直困惑: 你写的如下://好象软件调试中也是这么说的如果 PreviousMode 是 KernelMode，那么，如果 FirstChance 为 TRUE，那么将该异常传达给内核调试器，如果内核调试器没有处理，那么调用 RtlDispatchException 进行处理。如果 FirstChance 为 FALSE，那么再次将该异常传达给内核调试器，如果内核调试器没有处理，那么 BUGCHECK。我翻别的资料有这么说的: 用户态和内核态第一次机会给调试器,第2次机会给注册的异常处理器。如果在内核态抛出了异常并自己处理（比如除零异常自己修改除数和调整EIP），按你上面的提法如果调试器不处理就只能蓝屏？纯粹交流哈， 2011-10-19 22:00 0
boxcounter 雪币： 342 活跃值： (199) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 35 粉丝 18 关注私信	boxcounter 2 39 楼分析和写这篇笔记大概用了40个小时左右，但是目前在分析x64异常处理的过程中发现自己对x86这块还没有完全吃透，目前正在分析琢磨，希望晚一些能对这个笔记进行一些补充。另外，如果自己抛出的异常，内核调试器（如果存在，后续简称KD，我懒……）会先得到处理机会，如果KD没有处理，则使用 RtlDispatchException 开始常规的异常派发，这个时候就会调用自己提供的异常处理。如果处理了整个异常派发就结束了，不会再给回到 KD。如果整个异常链上没有任何处理块能处理，那么要不就再给 KD 一次机会，要么就就 BSOD。需要说明的是，内核态除零异常直接 BSOD，不会给 KD 机会，也不会给程序猿提供的异常处理机会 [欢迎交流这篇笔记难免会因为我个人水平的问题出现纰漏或错误，之所以分享出来也是希望能有对这块同样感兴趣的朋友一起讨论，纠正我的错误，大家一起吃透它。] 2011-10-20 07:51 0
raigeki 雪币： 328 活跃值： (154) 能力值： ( LV12，RANK：310 ) 在线值：发帖 10 回帖 106 粉丝 2 关注私信	raigeki 7 40 楼 mark，学习，路过，…… 2011-10-20 08:25 0
smilysas 雪币： 413 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	smilysas 41 楼顶LZ! 新手入门，认真学习下LZ的SEH理解，更要学习LZ的态度！ 2011-10-20 17:44 0
linix 雪币： 224 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	linix 42 楼恩,这几天又看了些,楼主确实吃的比我透点. 2011-10-30 22:23 0
jimdlf 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	jimdlf 43 楼不错正巧最近也在学习异常的处理！！收藏下 2011-11-3 02:48 0
boxcounter 雪币： 342 活跃值： (199) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 35 粉丝 18 关注私信	boxcounter 2 44 楼更新记录： v1.0.2, 2011-10-31：调整若干描述语句；增加 ExceptionNestedException 返回值的补充说明。 2011-11-4 20:01 0
lionxyes 雪币： 890 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	lionxyes 2 45 楼感谢楼主，学习了，楼主的精神让人感动呀 2012-2-27 13:02 0
jasonnbfan 雪币： 949 活跃值： (18) 能力值： ( LV9，RANK：330 ) 在线值：发帖 60 回帖 265 粉丝 2 关注私信	jasonnbfan 8 46 楼喜欢这样的技术贴。 2012-2-27 21:51 0
shenmumu 雪币： 195 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	shenmumu 47 楼谢谢了，好东西呀 2012-3-3 12:12 0
不同意雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	不同意 48 楼下载了，慢慢学习，老了，学不动了，很感谢 2018-10-18 22:02 0
maomaolk 雪币： 697 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	maomaolk 49 楼 mark 2019-3-5 15:58 0
qiantang 雪币： 163 活跃值： (677) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 35 粉丝 11 关注私信	qiantang 50 楼感谢 2022-3-15 16:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复