-
-
[原创] (向量化异常处理)VEH hook
-
发表于: 2014-7-31 11:21
-
近期在研究VEH HOOK 参考了网上的网上的一些文章 讲解的均不怎么全 也遇到了部分问题
再次向:cvrock kuty bxc致谢。
本文章内容讲的比较细 请耐心观看。
VEH (向量化异常处理)
VEH 的中文名字: 向量化异常处理(Vectored Exception Handling)
1.VEH 最早出现在XP上 因为只有XP及以上Window版本才支持
目前 Windows 平台下实现和使用的异常处理机制主要有 4 种:
筛选器异常处理,结构化异常处理(Structure Exception Handler, SEH),向量化异常处理(Vectored Exception Handler, VEH),C++异常处理(C++ Exception Handler, C++EH)。
其中 前三种为操作系统提供的异常处理机制,最后一种为C++提供的
VEH通过使用 Win32 API 函数 AddVectoredExceptionHandler可注册新的异常处理函数,函数的参数就是指向 EXCEPTION_POINTERS 结构的指针。同时,增加了函数地址的注册处理程序链表。由于系统中使用一个链表来存储矢量异常处理程序,程序可以安装尽可能多的向量处理器,只要有必要。
在用户模式下发生异常时,异常处理分发函数在内部会先调用遍历 VEH 记录链表的函数, 如果没有找到可以处理异常的注册函数,再开始遍历 SEH 注册链表。
二者之间具体联系:VEH优先权高于SHE,只有所有VEH全不处理某个异常的时候,异常处理权才会到达SHE。只要目标程序中没有利用VEH,那么,你所设计的VEH将是第一个得到控制者。现在采用SEH作为异常处理的普通C/C++程序对你将不会再有干扰,可以通过使用VEH来进行hook处理了。
如果存在调试器,那么控制权转向将会发生新的变化。当异常发生后,首先通知的将会是调试器,调试器不处理才会再返回控制权给VEH;如果VEH不处理,再返回给SHE;若SEH不处理,再给调试器一个机会,如果还不处理,则交由系统处理。
VEH由AddVectoredExceptionHandler添加处理函数 处理函数有一个参数 参数类型为PEXCEPTION_POINTERS结构体
结构PEXCEPTION_POINTERS中保存着当前异常的各个寄存器,堆栈,地址,等多种信息 以下是PEXCEPTION_POINTERS的展开图
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我这么有面子啊
|
|
|
|
|
|
楼主的名字,曾几何时,貌似在广海看到过
 忽然回忆起了,之前写的关于VEH 的东东 |
|
|
|
|
|
|
|
|
|
|
|
 广海呆过一段时间 人少 没人交流技术 所以也就不去了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
用缺页异常如何……
|
|
|
|
|
|
这个只是我第一次研究学习而已 没太重视 技术学到了 剩下的就是思路了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
