SEH学习心得【1】

最新推荐文章于 2022-02-25 17:21:50 发布
最新推荐文章于 2022-02-25 17:21:50 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 安全 汇编 Windows 文章标签: exception 汇编 function windows c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BetaBin/article/details/7346505
版权

(近日遇到大量SEH问题,所以觉得有必要好好研究研究。)

一、SEH的汇编实现

从实践入手,汇编实现SEH其实不难。简单点如下指令:

push offset_exception_function_address
push fs:[0]
mov fs:[0], esp


二、SEH的简单理解

SEH(Structured Exception Handling),是Windows下的一个结构化异常处理。和C++所提倡的不同。(这里区分于try{}catch{}结构,应该是__try{}__except{int}的结构。至于具体的不同,还需要翻阅资料。)简单点理解,每个线程都有自己的SEH链表,链表元素为指向异常处理函数的指针及指向下个异常处理函数地址的指针。链表尾部用0xFFFFFFFF代表。

这样理解上面的汇编代码就好多了。把新加入的异常处理函数地址压入栈中,再压入SEH的链表头地址(既是指向上一异常处理函数地址的指针),然后把此时的ESP存放到FS:[0]中。这样就是实现了异常处理函数的加入。

关于FS段,暂时可以简单理解为FS:[0]是指向SEH链表头的指针。至于其它的还需要进一步学习才能掌握。

 

 

 

 

 

 

 

 

 


                

        

    

  



    


                



	

		

			

				
					
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结

				
			

			

				

					杨秀璋的专栏
				

				

					03-05
					
					2万+
					
				

			

		

		

			
				
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~

			
		

	



                

            
              



	

		

			

				
					
SEH学习

				
			

			

				

					潜心学习
				

				

					06-11
					
					1347
					
				

			

		

		

			
				
以前觉得加技术的QQ群作用只有一个:闲聊,浪费时间
现在想找5,6个长期有时间学习逆向的朋友,在一个小群里面,有问题互相讨论(只讨论技术上的问题)
为了保持群的活跃,有要求如下
群成员要求
1 懂C语言 汇编,基础windows知识
2 懂得最基本的脱壳 破解知识
3 乐于助人

4 群成员之间互相认识,了解各自水平
有兴趣 加我的QQ 315,1028,21
(逗号是为了避免

			
		

	



              


  
              

                


	

		

			

				
					
SEH学习手记

				
			

			

				

					IDLOST的专栏
				

				

					10-07
					
					384
					
				

			

		

		

			
				
#include #include #include using namespace std;DWORD scratch;EXCEPTION_DISPOSITION_cdecl_except_handler( struct _EXCEPTION_RECORD *ExceptionRecord, void * EstablisherFrame, struct 

			
		

	





	

		

			

				
					
SEH汇编

				
			

			

				

					雪之梦的专栏
				

				

					06-24
					
					1980
					
				

			

		

		

			
				
00401000 >/$  E8 0B000000   CALL seh.00401010 ;//下一条指令入栈(返回地址)00401005  |.  8B6424 08     MOV ESP,DWORD PTR SS:[ESP+8] ;//指向lpseh。lpseh是我们EXCEPTION_REGISTRATION结构的地址。00401009  |.  31C0          XO

			
		

	



		

			
		



	

		

			

				
					
SEH除零异常处理及值传递、引用传递汇编浅谈

				
			

			

				

					weixin_33866037的博客
				

				

					10-16
					
					284
					
				

			

		

		

			
				
笔记分享// 过滤函数(发生异常之后通过__except(过滤表达式调用))
DWORD Filters(DWORD Code, PEXCEPTION_POINTERS ExceptionInfo)
{
    /*这只是个测试,捕获到除零异常之后根据情况判断什么类型的异常(根据实际情况来)*/
    switch (Code)
    {
    // 内存访问方面异常
    case EX...

			
		

	





	

		

			

				
					
深入解析结构化异常处理(SEH) - by Matt Pietrek

					
热门推荐

				
			

			

				

					dvlinker的技术专栏
				

				

					09-18
					
					4万+
					
				

			

		

		

			
				
深入解析结构化异常处理(SEH) - by Matt Pietrek

			
		

	





	

		

			

				
					
SEH学习心得【2】- 关于FS段寄存器

				
			

			

				

					BetaBin
				

				

					03-13
					
					2087
					
				

			

		

		

			
				
——————
关于PEB结构在http://blog.youkuaiyun.com/betabin/article/details/7481949中列出。
——————
看SEH少不了FS段寄存器,关于其大概认识如下。
在不同的地址空间,FS段寄存器指向不同的内存段。线程运行在RING0(既系统级别)下,FS段值是0x3B(XP下的值,在2000下是0x38)。运行在RING3(用户级别)下,FS段值

			
		

	





	

		

			

				
					
线性表逆置实验报告

				
			

			

				

					Shudderwock 的博客
				

				

					03-22
					
					1604
					
				

			

		

		

			
				
课程设计题目:线性表逆置实验
一、问题描述
试分别以顺序表和单链表作存储结构,各写一实现线性表就地逆置的算法。
二、基本要求

逆置线性表。
就地(空间复杂度至多O(1)O(1)O(1))。

三、概要设计
1. 数据结构的设计
依题目要求,本实验采用顺序表和单链表。
2. 算法的设计
对于顺序表的逆置,我们使用两个指针i和j,分别从左到右和从右到左扫描,交换元素,直到相遇。
伪代码如下
void reverse() {
    for (int i = 0, j = length - 1, t; i &l

			
		

	





	

		

			

				
					
Windows系统下的缓冲区溢出基础教程

				
			

			

				

					
				

			

		

		

			
				
作者设定了新一年的个人学习目标,并提供了博客地址以便交流学习心得。"  缓冲区溢出是一种常见的计算机安全漏洞,通常发生在程序处理数据时,超过了分配给特定缓冲区的内存空间,导致相邻内存区域的数据被覆盖。这...

			
		

	





	

		

			

				
					
【软件加密_技术内幕】

				
			

			

				

					04-24
				

			

		

		

			
				
 [Trial version] Win32调试API学习心得(一).htm  [Trial version] Win32调试API学习心得(二).htm  [Trial version] win32调试API学习心得(三).htm  [Trial version] 用调试函数跟踪API.htm  [Trial version] 3.2 ...

			
		

	





	

		

			

				
					
[易语言源码]-SEH_API的重定向源码

				
			

			

				

					05-06
				

			

		

		

			
				
[易语言源码]-SEH_API的重定向源码

			
		

	





	

		

			

				
					
SEH

				
			

			

				

					weixin_30507269的博客
				

				

					03-02
					
					416
					
				

			

		

		

			
				
@author: dlive
SEHWindows的异常处理机制,在程序源代码中使用__try,__catch,__finally关键字来具体实现。
但SEH与C++的try, catch异常处理不同,从时间上看,与C++的try, catch相比,微软先创建了SEH机制,然后才将它搭载到VC++中。
SEH大量应用于压缩器,保护器,恶意程序用来反调试
0x01 OS的异常处理方法
正常运行时的...

			
		

	





	

		

			

				
					
SEH相关数据结构

				
			

			

				

					经典的误导的专栏
				

				

					11-30
					
					673
					
				

			

		

		

			
				
TEB结构
TEB(Thread Environment Block,线程环境块)在Windows9X系列中称为TIB(Thread Information Block,线程信息块),它记录着线程的重要信息。每一个线程对应一个TEB结构,在Windows2000 DDK中定义为:
typedef struct _NT_TIB {
    struct _EXCEPTION_REGISTRATI

			
		

	





	

		

			

				
					
破解笔记1——SEH

				
			

			

				

					haungrui的专栏,水底深呼吸
				

				

					01-16
					
					1719
					
				

			

		

		

			
				
     对于SEH(Structured Exception Handling)结构化异常处理的初步理解:是在CPU指令层次上给程序设计者提供异常处理,C++中的_try{}_except{}结构不过是在高层对SEH的包装。从总体上来说SEH是一个异常处理回调函数的链表,以线程基本单位,每个线程拥有自己的SEH处理链,出现异常时可以顺着SEH链依次调用异常处理函数,直到找到适合的处理函数

			
		

	





	

		

			

				
					
windows SEH机制注释(1) 基于ReactOS [第二次修订]

				
			

			

				

					lixiangminghate的专栏
				

				

					01-18
					
					939
					
				

			

		

		

			
				
1.SEH链表的布局:

FS:[0]->因函数层层调用形成嵌套的全局SEH链表: _SEHFrame!__SEHRegistration* SER_Prev->_SEHFrame!__SEHRegistration* SER_Prev->_SEHFrame!__SEHRegistration* SER_Prev ...
        |

			
		

	





	

		

			

				
					
[原创]windows-SEH详解

				
			

			

				

					whl0071的专栏
				

				

					02-25
					
					4315
					
				

			

		

		

			
				
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到)



1.SEH

 SEHwindows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。



2.OS异常处理的办法

 2.1正常运行时候的异常处理方法

 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...

			
		

	





	

		

			

				
					
SEH异常处理机制

				
			

			

				

					 谈成(C/C++)
				

				

					04-12
					
					1977
					
				

			

		

		

			
				
1.SEHwindows操作系统提供的异常处理机制。

2.在程序中可以使用__try、__except、__finally关键来实现异常处理。

3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。

4.异常处理过程:

正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。

调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理

如果程序没有异常处理函数

			
		

	





	

		

			

				
					
【VS开发】关于SEH的简单总结

				
			

			

				

					ZhangPY的专栏
				

				

					05-21
					
					4008
					
				

			

		

		

			
				
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》,
 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗. 
1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/exception/exception.aspx

Matt Pietrek 著  
董岩 译





			
		

	





	

		

			

				
					
Win32 SEH深入解析教程

				
			

			

				

					
				

			

		

		

			
				
Win32结构化异常处理(Structured Exception Handling,简称SEH)是一种在Windows操作系统中用于处理程序运行时所发生的异常情况的机制。SEH为开发者提供了一种能够捕获并处理各种运行时错误(如除零错误、访问违规...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值