关于INT 3的系统处理-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 2 楼 INT3是一个软中断，其实可以理解其为异常。发生异常时EIP的值+N [COLOR="Lime"]不管任何情况，每执行完一条指令eip立即指向下一条，执行完INT3后thread context结构中的EIP已经移下[/COLOR] /因此在调试循环中获取的EIP并非INT3所在地址/ N的值为中断指令长度。(如：INT3 (0xCC 1Byte)) 若处理成功，则当前EIP被保存，若处理不成功，则EIP-N重新指向INT3,取得再次处理的机会。直至异常被成功处理。调试循环中若处理成功则EIP=0X0068404F,不成功则0X0068404E 其实自陷和异常还是有区别的，自陷一般用于系统调用，而异常则大部分是随机产生，并且发生异常后，EIP并不会转移至下一条指令，直到异常被完全处理才可以执行 (真正的中断处理方式与异常和自陷以及中止的处理方式不一样)。另外，我爱你。 2012-10-25 02:07 0
卧龙传说雪币： 50 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	卧龙传说 3 楼呃...还是不太明白,那<软件调试>本书上说的在VC6调试器里断下后,EIP指向的是发生异常时EIP的值--N的值,即,0XCC处的地址又如何解释? 2012-10-25 08:32 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼你看一下EXPCEPTION_RECORD的ExceptionAddress字段，和CONTEXT的EIP字段是不一样的。 ExceptionAddress字段记录的是发生异常的地址，也就是EIP-1。 2012-10-25 09:47 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 5 楼印象中 context.ContextFlags = CONTEXT_ALL; 这样设置好像是不行的，这个All好像并不是包括了全部的选项。 2012-10-25 10:04 0
卧龙传说雪币： 50 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	卧龙传说 6 楼一句惊醒梦中人啊..... 另外你第一个回帖的 "我爱你"是啥意思.......... 2012-10-26 23:15 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 7 楼就是，我爱你。 2012-11-9 04:47 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 8 楼再稍微补充一下，其实INT n指令也有区分的，INT 3 其实算作软异常(类型Trap)，软中断是31个中断向量以后的是软中断(由设备调用的话就叫硬件中断，当然IDT里这部分也可以是陷阱门)。碧如，2000下INT 0x2E为_KiSystemService的vector。软式调用中断和硬件产生的中断区别在于软中断与EFLAGS没有直接联系，IF位不影响软中断的处理。而异常则可以被打断流程。这么晚，我明天不用上班了，。 2012-11-9 04:50 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 9 楼我是来围观那句“”我爱你“的。。。。。 2013-3-15 15:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 2 楼 INT3是一个软中断，其实可以理解其为异常。发生异常时EIP的值+N [COLOR="Lime"]不管任何情况，每执行完一条指令eip立即指向下一条，执行完INT3后thread context结构中的EIP已经移下[/COLOR] /因此在调试循环中获取的EIP并非INT3所在地址/ N的值为中断指令长度。(如：INT3 (0xCC 1Byte)) 若处理成功，则当前EIP被保存，若处理不成功，则EIP-N重新指向INT3,取得再次处理的机会。直至异常被成功处理。调试循环中若处理成功则EIP=0X0068404F,不成功则0X0068404E 其实自陷和异常还是有区别的，自陷一般用于系统调用，而异常则大部分是随机产生，并且发生异常后，EIP并不会转移至下一条指令，直到异常被完全处理才可以执行 (真正的中断处理方式与异常和自陷以及中止的处理方式不一样)。另外，我爱你。 2012-10-25 02:07 0
卧龙传说雪币： 50 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	卧龙传说 3 楼呃...还是不太明白,那<软件调试>本书上说的在VC6调试器里断下后,EIP指向的是发生异常时EIP的值--N的值,即,0XCC处的地址又如何解释? 2012-10-25 08:32 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼你看一下EXPCEPTION_RECORD的ExceptionAddress字段，和CONTEXT的EIP字段是不一样的。 ExceptionAddress字段记录的是发生异常的地址，也就是EIP-1。 2012-10-25 09:47 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 5 楼印象中 context.ContextFlags = CONTEXT_ALL; 这样设置好像是不行的，这个All好像并不是包括了全部的选项。 2012-10-25 10:04 0
卧龙传说雪币： 50 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	卧龙传说 6 楼一句惊醒梦中人啊..... 另外你第一个回帖的 "我爱你"是啥意思.......... 2012-10-26 23:15 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 7 楼就是，我爱你。 2012-11-9 04:47 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 8 楼再稍微补充一下，其实INT n指令也有区分的，INT 3 其实算作软异常(类型Trap)，软中断是31个中断向量以后的是软中断(由设备调用的话就叫硬件中断，当然IDT里这部分也可以是陷阱门)。碧如，2000下INT 0x2E为_KiSystemService的vector。软式调用中断和硬件产生的中断区别在于软中断与EFLAGS没有直接联系，IF位不影响软中断的处理。而异常则可以被打断流程。这么晚，我明天不用上班了，。 2012-11-9 04:50 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 9 楼我是来围观那句“”我爱你“的。。。。。 2013-3-15 15:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复