浅谈SEH和UEF

最新推荐文章于 2022-09-09 23:27:00 发布
原创 最新推荐文章于 2022-09-09 23:27:00 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#exception #filter #windows #os #框架 #crash

以前写了篇文章 Windows平台下的异常处理 讨论了Window平台下的一些异常处理方式,然而,简单的把SEH和UEF并列,并不是十分合适,它们并不在一个层级上,UEF相当于SEH框架中的ExceptionFilter表达式,SEH和UEF都属于SEH框架,走同样的异常分发流程,因此实现的功能也类似。OS和CRT的UEF安装在最外面,用户的SEH安装在里面,2者工作范围不同。

SEH的ExceptionFilter表达式和UEF允许用户有3个选择,参见MSDN:http://msdn.microsoft.com/en-us/library/ms680634(v=vs.85).aspx,即

EXCEPTION_EXECUTE_HANDLER

EXCEPTION_CONTINUE_EXECUTION

EXCEPTION_CONTINUE_SEARCH

事实上,从代码实现看,SEH是用户自己定义Filter,而UEF是通过OS已经实现的 UnhandledExceptionFilter 调用的,并且由OS或CRT包装了异常处理代码。如开头所说,它们走同样的异常分发流程,

如果SEH的Filter返回 EXCEPTION_EXECUTE_HANDLER,SEH中的异常处理块会执行,实现代码的飞越,类似于Goto。

由于UEF是由OS或者CRT包装过的,当UEF返回 EXCEPTION_EXECUTE_HANDLER 时,OS或者CRT中的异常处理过程得以执行,一般是ExitProcess或者TerminateProcess,终止进程。

SEH和UEF返回EXCEPTION_EXECUTE_HANDLER,都会导致stack unwind。

SEH和UEF的其它信息可以参见大牛的文章: A Crash Course on the Depths of Win32™ Structured Exception Handling

 

顺便说下VEH,VEH只允许用户给出2个选择,参见MSDN:http://msdn.microsoft.com/en-us/library/ms681419(v=vs.85).aspx,即

EXCEPTION_CONTINUE_EXECUTION

EXCEPTION_CONTINUE_SEARCH

VEH是Windows XP开始引入的功能,不支持EXCEPTION_EXECUTE_HANDLER功能,因此也没有相应的global/local unwind功能。

VEH中的陷阱
Viper的专栏
08-31 9585
最初发在QQ空间,转到这:http://user.qzone.qq.com/31731705/blog/1314257137 前面从理论(VEH中的陷阱(上))实际(VEH中的陷阱(下))研究了VEH中存在的问题,那么,VEH的使用过程中有哪些注意事项? 1. 防御性编程
__report_gsfailure中UEF的特殊行为
Viper的专栏
05-05 8265
<br />原本以为对UEF的逻辑已经大概了解了(理解UnhandledExceptionFilter),最近调试__report_gsfailure的时候却碰到了新问题。从VS2005以来,编译器添加了对栈的保护检查以防止buffer overrun的危害。一旦发现栈的内容出现错误,会调用__report_gsfailure,代码如下:­<br />1. DebuggerWasPresent = IsDebuggerPresent(); ­ <br />2. _CRT_DEBUGGER_HOOK(_CR
线程第一次启动异常的注册(UEF的一个特性)
墨鱼菜鸡
09-09 368
找一个受害者(这里使用的是win 7 x32的) 这些都是之前做的现在出来上班怕到时又忘记了所以记录一下,这里是从r3开始记录的 首先需要找到一个进程用来观察它的线程的入口地址是多少,使用命令!process 0 0,如下图 最简单的方式就是挂靠到它,使用命令.process /i ,之后按g放行就挂上去了 之后使用!process可以找...
VEH,VCH,UEF Windows向量化异常处理机制详解
MyCserSoft的专栏
06-22 6521
最近在搞的SR,因为涉及到Windows下的异常处理机制
精选资源
x86-64-posix-sehMinGW-W64-install.exe
08-17
在编程领域,尤其是在Windows平台上进行C/C++开发时,我们经常会遇到x86-64-posix-sehMinGW-W64这两个关键概念。它们是构建运行32位及64位程序的重要组成部分,尤其是对于那些依赖于GCC(GNU Compiler ...
C++异常SEH的区别
12-10
综上所述,C++异常SEH各有特点适用场景。选择哪一种异常处理机制取决于具体的应用需求开发环境。对于需要高度类型安全资源管理的应用程序,推荐使用C++异常;而对于需要处理底层硬件错误或系统级异常的情况...
西门子 SEH62.1时控开关设置说明
05-31
下面是西门子 SEH62.1 时控开关的技术参数操作说明: 技术参数: * 工作电压:AC230V * 允许电流:6(3)A * 频率:50/60Hz * 功耗:3VA * 数字输出:无电压节点转换 * 备存显示:LCD * 尺寸:79*106*56mm *断电...
浅谈C++ 异常处理的语义性能
12-22
3. **C++ 加SEH**(/EHa):这种模式同时支持C++异常WindowsSEH异常,因此可以捕获更多类型的错误,包括系统级别的异常。这会进一步增加代码大小,因为需要处理更多的异常情况,但提高了程序的健壮性。 在讨论...
精选资源
ASM-SEH-GAME-call.rar_64 汇编seh_SEH_hook game_汇编call_远程call
09-22
SEH_hook game_汇编call_远程call"揭示了本主题的核心内容,即在64位环境下,通过汇编语言(ASM)利用结构化异常处理(SEH)进行游戏相关的钩子(hook)编程,特别是涉及到了远程调用(remote call)call指令的...
理解UnhandledExceptionFilter
Viper的专栏
02-24 9557
最初发表在QQ空间,全文参见 理解UnhandledExceptionFilter UnhandledExceptionFilter,在一个windows平台上的C/C++程序中,主线程的SEH框架会有2层,最外层是BaseProcessStart,里面是mainCRTStart
神奇的记事本
Viper的专栏
10-08 6082
最初发表在我的QQ空间,见:http://user.qzone.qq.com/31731705/blog/1317393693 记事本是Windows系统上的老程序了,它的历史几乎Windows一样久,其实,平凡的它也是一个神奇的程序。在Win7上,将c:\windows\s
SEH中的prologepilog
Viper的专栏
09-20 5610
最初发布在QQ空间,见:SEH中的prologepilog,内有贴图。 使用SEH的代码都需要构建栈桢,支持exception处理的栈桢,而重复的代码就应当提炼成函数,微软自然不会例外。为此系统提供了prologepilog系列,类似的函数有不少版本,但大同小异。这次不
函数指针的值不是函数地址?
Viper的专栏
04-19 4516
最初发布在: http://user.qzone.qq.com/31731705/blog/1302859584在写跑在main之前的时候,碰到了很奇怪的问题。int initBreak() { DebugBreak(); return 0; } typedef i
C++代码的维护,从一个实例说起
Viper的专栏
07-27 4052
小问题有大智慧-代理服务器的监测 是几个月前的文章,最近碰到别人问如何设置代理的问题,又回顾了部分代码,虽然时间不长,还是有不少记不清了。,于是就整理了那个设置代理的函数,代码是实践的科学,每写一次,都会有点心得。先把代码贴出来,这个函数的大概流程是,先查询当前的浏览器设置,然后
函数调用之谜
Viper的专栏
05-23 3590
最初发布在QQ空间: http://user.qzone.qq.com/31731705/blog/1305821803函数指针的值不是函数地址? 介绍了内部的函数是如何通过ILT调用的,这次说说那些使用DLL import 进来的函数又是怎样调用的?typedef HANDLE
小问题有大智慧-代理服务器的监测
Viper的专栏
04-14 3578
<br />公司里的电脑都在一个域内,上网使用PAC自动化脚本,内部会自动解析所需要的代理,这些都是网络管理员自动设置,用今天流行语来说,你被设置了。有的时候这挺烦人的,特别是当你需要自己设定代理时,虽然当时你可以在浏览器的选项里这么做,不过一会儿,又会被域Policy自动更改回
标准C++与线程
Viper的专栏
07-22 3427
标准C++标准库中没有对线程的封装,程序员们不得不使用OS提供的API来处理线程,OS级别的API通常基于C,能用,但并不方便。最近看到论坛上有人问,顺便同事讨论这个问题,如何使用标准C++封装线程的操作,目的就是simple and easy to use。想想自己似乎多年
Win7下的段门 (2)
Viper的专栏
11-29 3362
原贴最初发表在QQ空间: Win7下的段门 (2) ,http://user.qzone.qq.com/31731705/blog/1322121566 代码相关的分析在这: Win7下的段门 (2) (附录),http://user.qzone.qq.com/31731705/blog/1322535584   不久前写过一篇 Win7下的段门(http://user.q
新浪被攻击
Viper的专栏
07-08 3315
一、事件的经过2011年6月28日晚,新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。事件
sjljseh
最新发布
03-08
### Sjlj Seh 的含义及用途 #### 结构化异常处理 (SEH) 结构化异常处理(Structured Exception Handling, SEH)是 Windows 操作系统提供的一种机制,用于捕获并响应程序运行期间发生的错误条件。这种机制允许开发者编写能够优雅地处理各种类型的异常情况的代码[^4]。 在 C/C++ 编程语言中实现 SEH 主要通过 `__try`、`__except` `__finally` 关键字来完成。当发生未预见的情况时,比如除零错误或者非法内存访问,操作系统会触发一个异常事件,并按照预定义的方式寻找最近的一个可以处理该异常的位置来进行相应的恢复操作[^5]。 ```cpp #include <windows.h> #include <stdio.h> int main() { __try { // 可能引发异常的代码段 int a = 0; int b = 1 / a; // 将导致除以零异常 } __except(EXCEPTION_EXECUTE_HANDLER) { printf("Caught an exception\n"); } return 0; } ``` #### Set Jump Long Jump (SJLJ) Set Jump Long Jump(简称 SJLJ),也称为“设置跳跃/远程跳跃”,是一种较早形式的过程间控制转移方法,在某些编程环境中用来模拟 try/catch 或者类似的异常捕捉功能。它依赖于两个标准库函数:`setjmp()` `longjmp()` 来保存当前执行状态以及回溯到之前的状态[^6]。 与 SEH 不同的是,SJLJ 并不是由编译器自动管理堆栈帧信息,而是手动记录返回点并通过显式的调用方式来回退至这些位置。这种方式虽然简单直观但在现代多线程或多处理器架构下效率较低且容易出现问题[^7]。 ```c #include <stdio.h> #include <setjmp.h> jmp_buf env; void function_that_may_fail(void){ if(/* some condition */) longjmp(env, 1); /* 跳转 */ } int main(){ if(setjmp(env)==0){ function_that_may_fail(); }else{ puts("Function failed and we jumped back!"); } return 0; } ``` sjlj seh 是两种不同的异常处理机制,前者更底层且跨平台兼容性较好,后者则是特定于 Windows 系统下的高级特性。对于大多数应用程序开发而言,推荐使用更高层次的语言内置异常处理设施而非直接操纵 sjlj 或 seh[^8]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值