异常派发研究KiDispatchException

最新推荐文章于 2025-04-14 17:16:56 发布
最新推荐文章于 2025-04-14 17:16:56 发布
阅读量1.4k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 笔记 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ADADQDQQ/article/details/120756024

当系统Debug模式下:
KdDebuggerEnabled1
KdPitchDebugger0
KiDebugRoutine==KdpTrap

此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死

当系统正常模式下:
KdDebuggerEnabled0
KdPitchDebugger1
KiDebugRoutine==KdpStub

此模式下R3触发异常若没有异常处理接管,则程序崩溃

KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1

KdEnteredDebugger:中断到调试器标志,中断前会设1 恢复后会设0

KiDispatchException的一些研究
内核异常:
1.如果是第一次处理异常并且存在内核调试器,处理成功则返回
2.不存在内核调试器,或者内核调试器不能处理异常,内核就会调用RtlDispatchException函数,依次调用注册的异常处理函数(SEH)
3.如果仍然没处理成功尝试第二次向内核调试器发往异常消息
4.仍然失败,则蓝屏

用户异常:
1.如果是第一次处理异常,如果调试端口为空并且存在内核调试器,就会将异常交给内核调试器处理
2.若调试端口不为空,则发送一个消息至调试端口
3.如果调试器处理了异常,则返回,继续执行
4.否则,把异常信息填充都用户栈中,并且设置好用户模式的Eip为KeUserExceptionDispatcher,并且准备该函数锁需参数,然后KiDipatchException返回
5.当从内核模式的异常处理例程返回后,ntdll.dll的KiUserException-Dpspatcher函数获得控制,它会试图将该异常分发给一个基于调用帧的异常处理器。如果存在一个基于调用帧的异常处理器处理了该异常,则程序继续执行.
6.如果该异常仍然未被处理,则通过NtRaiseException函数再次进入内核中处理该函数。这一次KiDispatchException函数被调用时,FirstChance的参数为FALSE。
7.如果是第二次处理进程,并且当前进程有一个调试端口,则发送一个消息至调试端口,然后等待应答.如果进程的调试器处理了该异常,则返回,并继续执行。
8.否则,如果当前进程有一个异常端口,则发送一个消息至异常端口,然后等待应答。
9.如果处理成功则返回,并继续执行。如果处理失败,则进程终止

typedef struct _EXCEPTION_RECORD {

DWORD ExceptionCode;//异常产生的原因

DWORD ExceptionFlags;//异常标志

struct _EXCEPTION_RECORD *ExceptionRecord;//相关联的异常记录

PVOID ExceptionAddress;//用来记录异常地址,错误类异常与陷阱类异常会有区别

DWORD NumberParameters; // 附加参数个数,即ExceptionInformation数组的有效个数。

ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];

} EXCEPTION_RECORD, *PEXCEPTION_RECORD;

VOID KiDispatchException (
IN PEXCEPTION_RECORD ExceptionRecord, // 指向异常信息结构体
IN PKEXCEPTION_FRAME ExceptionFrame, // 指向异常帧,0
IN PKTRAP_FRAME TrapFrame, // 指向陷阱帧,寄存器环境
IN KPROCESSOR_MODE PreviousMode, // 异常产生的位置 R0/R3
IN BOOLEAN FirstChance // 是否是第一次分发异常 第一次==TRUE
)

VOID
KiDispatchException(
IN PEXCEPTION_RECORD ExceptionRecord,
IN PKEXCEPTION_FRAME ExceptionFrame,
IN PKTRAP_FRAME TrapFrame,
IN KPROCES

最低0.47元/天 解锁文章

200万优质内容无限畅学
中断和异常
u012138730的专栏
05-10 3389
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
Windows对异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1763
异常 Windows中异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
【第43节】实验分析windows异常分发原理
攻城狮7号的博客
04-14 756
在Windows操作系统的复杂运行机制中,异常处理是保障系统稳定和程序正常执行的关键环节。当程序运行出现诸如内存访问错误、除零操作等异常情况时,系统如何有条不紊地进行处理,将直接影响到用户体验和系统的可靠性。深入探究Windows异常分发原理,不仅有助于开发者更好地理解程序运行时的异常行为,还能帮助他们编写出更健壮、更稳定的代码。接下来,我们将通过具体的实验分析,揭开Windows异常分发原理的神秘面纱,深入了解系统在面对异常时的处理流程和机制,开始实验前需要自己配置好双机调试环境。
Win10 X64 HOOK KiUserExceptionDispatcher
瞎捣鼓
01-31 2572
Win10 X64 HOOK KiUserExceptionDispatcher HOOK.ASM extrn NewKiUserExceptionDispatcher : proc extrn OrgKiUserExceptionDispatcher : proc extrn OldKiUserExceptionDispatcher : proc .data .code ;hook public MyKiUserExceptionDispatcher MyKiUserExceptionDi
KiDispatchException
FadeTrack
03-09 2540
VOID KiDispatchException ( IN PEXCEPTION_RECORD ExceptionRecord, IN PKEXCEPTION_FRAME ExceptionFrame, IN PKTRAP_FRAME TrapFrame, IN KPROCESSOR_MODE PreviousMode, IN BOOLEAN FirstCha
44 异常分发函数_KiDispatchException@20的逆向分析
huei0的博客
04-18 279
异常处理
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4397
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
Hook KiUserExceptionDispatcher参数指针错误的问题
SilenceNet的专栏
12-04 9640
跟了一个晚上,终于解决了大概要实现的是用这个函数替换ntdll中的KiUserExceptionDispatcher,实现方法如下:VOID NTAPI KiUserExceptionDispatcher(PEXCEPTION_RECORD pExcptRec,PCONTEXT pContext) { DWORD retValue; if (RtlDispatchException(pExcptRec,pContext)) { retValue=::ZwContinue( pContex
4.VEH(向量化异常处理)
My classmates
10-30 7034
当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 (ntdll.dll) KiUserExceptionDispatcher函数分析 调用 RtIDis...
Windows 中断异常管理
leibso的博客
07-26 870
前言 本文参考 张银奎.《软件调试》一书,融入了自己的理解,以及将逻辑用伪代码形式表达 1. 中断和异常管理 前言:系统调用所提供的服务是在内核里。一般是在系统空间实现,而应用软件则都在用户空间运行。它们之间有着明确的间隔。实质是CPU运行模式的不同。 通过一条int 0x2e的指令可以让CPU陷入内核。 1.1 IDT、IDTR、PCR、PCRB等背景知识 IDT: 中断描述符表寄...
当出现ntdll!KiUserExceptionDispatcher时,如何用windbg 定位正确堆栈
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 7499
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这时就需要通过其他方式获取产生异常时的正确堆栈 下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点 [cpp] view plainco
WRK中全部访问DebugPort的函数总汇
创造神话,实现梦想!
07-09 1449
KiDispatchException        //1处    NtQueryInformationProcess      //1处    PspCreateProcess        //1处    PsGetProcessDebugPort      //1处    PsIsProcessBeingDebugged      //1处    NtTerminateProce
电脑蓝屏的代码,有无大神帮忙看看
warmloop的博客
09-05 901
analyze -v1: kd>!analyze -vArguments:Value: 0Value: 0Value: 0Value: 92Value: 8Value: 1.ecxr;kb---------
漫谈兼容内核之二十五:Windows的结构化异常处理(二)
周寅的专栏
03-13 1204
 先看调用参数。异常纪录块ExceptionRecord就是前面准备好的;指针ExceptionFrame是NULL,这是个 KEXCEPTION_FRAME结构指针,但是从代码中看这只是为PowerPC芯片而设的,用于保存一些附加寄存器的内容,386架构的处理器芯片无 此要求;而陷阱框架指针Tf指向堆栈上因异常而形成的框架,我们在前面倒是称之为“异常框架”。此外,PreviousMode为Ker
windows高级调试
LIJIWEI0611的博客
02-07 1221
无论用户模拟异常还是CPU异常,经过前面分析,在经过记录之后,最终都会经过KiDispatchException这个派发函数中。在KiDispatchException中会对CPU异常和用户异常分别进行处理。
KdEnteredDebugger变量的定位
haodawei123的博客
02-01 654
下面是 KdEnterDebugger函数xp下面的代码: 通过这个函数可以定位到KdEnteredDebugger这个变量的位置 8065e871 c705c4d4548001000000 mov dword ptr [nt!KdEnteredDebugger (8054d4c4)],1 8065e873-8065e806=0x6d,读取KdEnterDebugger函数的6d处就能得到 KdE...
蓝屏总结(一) ——基本分析方法
热门推荐
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
过某P之KdEnteredDebugger检测
08-24 1852
某p在双机调试时,会检测KdEnteredDebugger是否等于1,如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析,当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 PMDL MyIoAllocateMdl( __in_opt PVOID VirtualAddress, __in...
【无标题】
qq_15559927的博客
11-21 188
dt dmp
windows异常处理机制
最新发布
06-13
### Windows 异常处理机制详解 Windows 系统的异常处理机制是一种结构化异常处理(Structured Exception Handling, SEH),它为应用程序提供了一种统一的方式来捕获和处理运行时错误。这种机制不仅能够处理由程序逻辑引发的软件异常,还能够捕获硬件级别的错误,例如内存访问违例、除零错误等。 #### 1. 异常处理的基本流程 当发生异常时,CPU 会查询中断向量表以定位对应的异常处理函数。这一过程通常会调用操作系统内核中的特定函数来分发异常[^2]。具体步骤如下: - **异常触发**:当 CPU 遇到无法处理的指令或状态时,会产生一个硬件异常。 - **中断向量查询**:CPU 查询中断向量表,找到与该异常对应的处理函数地址。 - **内核级分发**:系统调用内核函数(如 `_KiTrapXX`)进行初步处理,并进一步调用 `KiDispatchException` 分发异常[^2]。 - **用户级回调**:如果异常未被内核完全处理,则通过回调机制传递给用户模式下的异常处理器[^4]。 #### 2. 结构化异常处理(SEH) SEH 是 Windows 提供的一种异常处理机制,允许开发者在程序中定义异常处理器。其核心思想是通过链式结构维护一系列异常处理器,确保异常能够被逐层捕获和处理。 - **异常处理器注册**:每个线程都有一个指向当前异常处理器的指针(存储在 FS:[0] 中)。当新的异常处理器被创建时,它会被插入到链表的头部[^1]。 - **回调函数**:当异常发生时,系统会依次调用链表中的异常处理器,直到某个处理器成功处理了异常。回调函数的原型如下: ```c EXCEPTION_DISPOSITION __cdecl _except_handler( struct _EXCEPTION_RECORD *ExceptionRecord, void * EstablisherFrame, struct _CONTEXT *ContextRecord, void * DispatcherContext ); ``` 这个函数负责决定是否继续处理异常,或者将异常传递给下一个处理器[^3]。 #### 3. C++ 异常处理与 SEH 的结合 C++ 异常处理机制可以与 Windows 的 SEH 结合使用。通过调用 `SetUnhandledExceptionFilter` API,开发者可以注册一个全局异常过滤器,从而捕获未处理的异常。此外,C++ 的 `catch(...)` 块也可以捕获操作系统产生的异常,例如“内存访问违例”等。 #### 4. 异常处理的优点 - **简化实现**:通过利用操作系统的异常处理机制,C++ 编译器可以减少对异常处理的支持代码量。 - **全面覆盖**:SEH 不仅能够捕获软件异常,还能处理硬件级别的错误。 - **灵活性**:开发者可以通过自定义异常处理器实现特定的错误恢复逻辑[^5]。 #### 5. 注意事项 尽管 SEH 和 C++ 异常处理功能强大,但在实际开发中需要注意以下几点: - 确保异常处理器的逻辑正确,避免无限递归或死循环。 - 在多线程环境中,需特别注意异常处理器链的管理,防止线程间冲突。 - 对于性能敏感的应用程序,应尽量减少异常的发生频率,因为异常处理的开销较高。 ```c // 示例:简单的 SEH 使用 #include <windows.h> #include <stdio.h> LONG WINAPI MyExceptionHandler(EXCEPTION_POINTERS* ExceptionInfo) { printf("An exception occurred: %X\n", ExceptionInfo->ExceptionRecord->ExceptionCode); return EXCEPTION_EXECUTE_HANDLER; } void main() { __try { // 触发异常 int* ptr = NULL; *ptr = 10; // 访问空指针 } __except (MyExceptionHandler(GetExceptionInformation())) { printf("Exception handled.\n"); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值