x64的seh

最新推荐文章于 2025-05-26 20:08:49 发布
原创 最新推荐文章于 2025-05-26 20:08:49 发布 · 3.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#exception #function #struct #filter #image #table

本文探讨了x64架构下的异常处理机制,重点介绍了SEH(结构化异常处理)及其在x64下的实现。内容涉及RUNTIME_FUNCTION结构体、UNWIND_INFO、叶函数的概念以及SCOPE_TABLE的作用。通过分析,揭示了异常处理中函数范围登记、栈展开信息和异常处理链的细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PatchGuard与异常处理密切相关,所以先看看x64的SEH

关于x86中内核如何捕获异常,分发异常,可以看 http://blog.youkuaiyun.com/shevacoming/article/details/7580350


上面那篇没有跟进分析RtlDispatchException,这里跟进以复习x86 seh的结构,也看经典的这一篇 http://bbs.pediy.com/showthread.php?threadid=14042


x86的异常处理是链式存储,存储在FS[0]中的

cPublicProc _RtlpGetRegistrationHead    ,0
;cPublicFpo 0,0

        mov     eax,fs:PcExceptionList
        stdRET    _RtlpGetRegistrationHead

stdENDP _RtlpGetRegistrationHead

seh的结构包含下一个嵌套的seh和回调函数地址 
typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;
    PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;
EXCEPTION_DISPOSITION
__cdecl _except_handler(
     struct _EXCEPTION_RECORD *ExceptionRecord,
     void * EstablisherFrame,
     struct _CONTEXT *ContextRecord,
     void * DispatcherContext
     );


x64不再基于链式存储seh,而是使用表式存储  可以看这篇文章  http://www.boxcounter.com/showthread.php?tid=74

PE64里面的IMAGE_RUNTIME_FUNCTION_ENTRY记录了一些信息

typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY {
  DWORD BeginAddress;
  DWORD EndAddress;
  DWORD UnwindInfoAddress;
} _IMAGE_RUNTIME_FUNCTION_ENTRY, *_PIMAGE_RUNTIME_FUNCTION_ENTRY;

为此我写了一个小程序 

void MyPeView()
{
	MAP_FILE_STRUCT FileContext;

	LoadFileR(L"notepad.exe",&FileContext);

	PIMAGE_RUNTIME_FUNCTION_ENTRY   pRtlFunc = (PIMAGE_RUNTIME_FUNCTION_ENTRY)GetDirectoryEntryToData(FileContext.ImageBase,IMAGE_DIRECTORY_ENTRY_EXCEPTION);
	
	for (int i=0;pRtlFunc[i].BeginAddress;i++)
	{
		printf("BeginAddress 0x%x  EndAddress  0x%x  UnwindData 0x%x \n",pRtlFunc[i].BeginAddress,pRtlFunc[i].EndAddress,pRtlFunc[i].UnwindInfoAddress);
	}

	UnLoadFile(&FileContext);
}

他输出的前几行与ida中一致,这个值是相对于基址的偏移。他记录了每一个函数的开头结尾以及异常信息。

BeginAddress 0x1000  EndAddress  0x10c8  UnwindData 0x13235
BeginAddress 0x10c8  EndAddress  0x11

最低0.47元/天 解锁文章

200万优质内容无限畅学
dump x64 seh
Returns' Station
08-03 6891
自己认识x64 seh结构时的小工具,可能有bug #define UNW_FLAG_NHANDLER 0x0 #define UNW_FLAG_EHANDLER 0x1 #define UNW_FLAG_UHANDLER 0x2 #define UNW_FLAG_CHAININFO 0x4 typedef enum _UNWIND_OP_CODES { UWOP_PUSH_NON
X64 SEH的展开
nethm的专栏
12-08 2091
C++ 代码: #include "stdafx.h" #include ULONG WINAPI FilterFunc(DWORD dwExceptionCode) { return (dwExceptionCode == STATUS_INTEGER_DIVIDE_BY_ZERO) ? EXCEPTION_EXECUTE_HANDLER : EXCEPTION_CONTINUE_SE
SEH分析笔记(X64篇)
FrankieWang008的专栏
12-18 7045
SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本。 [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文的原始稿,一样的内容,更好的高亮和排版。 本文的部分代码可能会因为论坛的自动换行变得很乱,需要的朋友手动复制到自己的代码编辑器就可以正常显示了] 在之前的《SEH分析笔记(
Windows逆向工程提升之IMAGE_RUNTIME_FUNCTION_ENTRY
最新发布
0xCC说逆向
05-26 1244
【代码】Windows逆向工程提升之IMAGE_RUNTIME_FUNCTION_ENTRY。
SEH X64(1)
商少
05-25 1580
开门见山的介绍X64-SEH 的结构:相比于X86 在程序运行中动态构建SEH结构,X64-SEH 是静态的,其信息包含在PE文件中。下面我们首先看一下对应的结构,然后看看其提供的信息是否能够满足异常捕获以及异常处理的功能。 为异常处理和调试器支持展开数据 执行异常处理和调试支持所需的数据结构 RUNTIME_FUNCTION typedef struct _RUNTIME_FUNCTIO
SEH X64(2)
商少
05-26 1886
上一篇文章,我们介绍X64 SEH 操作所需要的操作,与X86相比,它是静态的并且这些静态信息足够用于展开操作,下面我们来分析展开操作相关的函数。 首先来看异常的分发函数。这里的调用流程其实跟X86 SEH 类似,KiDispatchException--->RtlDispatchException---->RtlpExecuteHadnlerForException。KiDispatchExc
SEH X64(3)
商少
05-27 2343
接下来看__C_specific_handler函数中出现的函数。首先是RtlUnwindEx函数。在异常操作中,当找到了愿意处理当前异常的ExceptionHandler 之后就会以此为参数调用RtlUnwindEx 函数,根据X86 学到的知识,RtlUnwindEx 在执行ExceptionHandler之前应该执行展开操作,清理资源,然后再执行ExceptionHandler。 函数原型
x86-64-posix-seh和MinGW-W64-install.exe
08-17
它提供了针对x86-64架构的工具链,允许开发者使用GCC来编译出符合Windows x64 ABI的程序。 在压缩包文件中,"x86_64-8.1.0-release-posix-seh-rt_v6-rev0.7z"是MinGW-W64的一个特定版本,其中包含了GCC 8.1.0版本,...
windows x64异常分发流程
weixin_43787608的博客
06-15 2958
0x00 对windows比较熟悉的同学应该都知道SEH这个概念,我们可以通过SEH来来捕获异常,之后决定怎么处理。 具体的内容可以查看:https://bbs.pediy.com/thread-173853.htm 在上面的文章中,少讲了VCH。 我们根据异常的分发流程,在没有挂上调试器的情况下,异常会先被路由到veh,之后进入seh。那么就存在一个很严重的问题,seh是针对特定线程的特定函数的...
x86-64-13.2.0-release-posix-seh-rev1.7z
05-21
标题 "x86-64-13.2.0-release-posix-seh-rev1.7z" 暗示这是一个针对x86_64架构的软件编译环境,其中包含了 Mingw64、GCC 和 G++ 的组件。这个压缩包很可能是用于在Windows操作系统上构建64位应用程序的工具集。让...
x64-4.8.1-release-posix-seh-rev5
12-02
ming64,用于在window环境下编译c,c++,如果不经常用的话可以安装一个,方便快捷。
栈回溯----X64
商少
06-19 3310
通过X64-SEH 的学习(http://blog.youkuaiyun.com/qq_18218335/article/details/72722320)我们知道了一个函数RtlVirtualUnwind,虚拟展开函数,该函数根据epilog 和 prolog 进行虚拟的寄存器操作(在一个CONTEXT结构体中),函数执行完,CONTEXT结构体中即为函数虚拟执行完后寄存器应该有的状态,其中rip 和 rs
异常处理 (x64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-07 1241
异常处理 (x64) Visual Studio 2013 其他版本 此主题尚未评级 - 评价此主题 本节论述 x64 上的结构化异常处理和 C++ 异常处理行为。 为异常处理和调试器支持展开数据 展开过程 语言特定处理程序 MASM 的展开帮助器 C 中的展开
Win异常处理机制研究
chouhunpo4240的博客
08-07 208
异常和中断的优先级 如果在一条指令边界有多个异常或中断等待处理时,处理器会按规定的次序对它们进行处理。表4-9给出了异常和中断源类的优先级。处理器会首先处理最高优先级类中的异常或中断。低优先级的异常会被丢弃,而低优先级的中断则会保持等待。当中断处理程序返回到产生异常和/或中断的程序或任务时,...
PE文件格式学习(六):异常表(Exception)
tutucoo
11-07 2921
1.概述 x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构,它保存在PE文件中,通常在.pdata区段。因此本文的例子采用x64编译过的程序。 异常表在资源表的后面。 2.异常表解析 数据目录表的第四个元素指向异常表,RVA指向的是一个IMAGE_IA64_RUNTIME_FUNCTION_ENTRY的结构体,本例的RVA是0xA000(也就是.pdata段...
《C++反汇编与逆向分析技术揭秘》笔记-第13章异常处理
qq_42692132的博客
08-28 1265
C++反汇编揭秘
使用.NET NativeAOT模式开发hyper-v平台uefi上windbg调试引擎心得
如鹿渴慕泉水的专栏
08-03 994
使用.NET NativeAOT模式开发hyper-v平台uefi上windbg调试引擎心得
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值