SEH中的prolog和epilog

最新推荐文章于 2025-12-07 11:44:37 发布
原创 最新推荐文章于 2025-12-07 11:44:37 发布 · 5.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#exception #pointers #security #数据结构 #table #c

本文探讨了在Windows系统中,SEH(结构化异常处理)的prolog和epilog函数如何构建和恢复异常处理栈帧。通过分析__SEH_prolog4_GS和__SEH_epilog4_GS,展示了这两个函数在异常处理过程中的作用,包括栈的改变、异常栈帧结构的建立以及数据结构的检查。同时,提到了数据结构对于理解代码实现的重要性。

最初发布在QQ空间,见:SEH中的prolog和epilog,内有贴图。

使用SEH的代码都需要构建栈桢,支持exception处理的栈桢,而重复的代码就应当提炼成函数,微软自然不会例外。为此系统提供了prolog和epilog系列,类似的函数有不少版本,但大同小异。这次不用调试器,分析下__SEH_prolog4_GS和__SEH_epilog4_GS 2个函数,看看它们如何工作支持异常的栈桢结构。

先看看prolog,这是内核函数KiDispatchException调用__SEH_prolog4_GS的代码,

000 push    0F8h
004 push    offset off_8488DCE0
008 call    __SEH_prolog4_GS

调用函数前传递2个参数,一个是需要保留的栈的大小,一个是指针。
再看看函数代码本身,详细的注释在代码后面,

   ; two instrucitons before call it.
    ;
    ; take KiDispatchException as example,
    ;
    ; 000 push    0F8h ; it's used as a stack size
    ; 004 push    offset off_8488DCE0 ; it's pointer
最低0.47元/天 解锁文章
【VS开发】关于SEH的简单总结
ZhangPY的专栏
05-21 4202
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变:http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著   董岩 译
深入解析结构化异常处理(SEH)
CherishPrecious的博客
08-16 608
尽管以前写过一篇SEH相关的文章《关于SEH的简单总结》, 但那真的只是皮毛,一直对Windows异常处理的原理似懂非懂, 看了下面的文章 ,一切都豁然开朗.  1997年文章,Windows技术的根一直没变: http://www.microsoft.com/msj/0197/exception/exception.aspx Matt Pietrek 著   董岩 译   在Win32操作系统...
Prolog&Epilog
12-06 1153
这篇博客会简单介绍一下Prolog&Epilog 然后再简单介绍下我对于程序在计算机中到底如何运行的一些理解(因为自己之前也从来没有接触过这些方面的知识,所以如果有讲的不对的地方希望大家能够帮我指正) 1.首先我们认识下什么是Prolog&Epilog 其实就是两段固定的代码, 当编译器对程序进行编译的时候就会生成这两段代码, 然后编译器会在每一个函数的开头塞入Prol...
MSVC环境下X64 prologepilog
ComputerInBook的专栏
04-24 482
目录 1. prolog的代码(在MASM中) 2. epilog的代码(在MASM中) 每一个函数需要分配栈空间、进一步调用其函数、保存非易失性寄存器、或者使用异常处理机制,都必须有一段序言代码(prolog),它的地址限制在解开数据(unwind)中描述,unwind数据与相应的函数地址条目相关。更多信息,参见X64异常处理文档。如有必要,prolog会将数据参数寄存器值保存在它的起始地址上(home address)(即,栈的最底下分出的一块地址,用于存放函数参数寄存器值返回地址,称其为h
HyperLogLog应用
平原孤狼的博客
09-14 424
HyperLogLog应用 一、场景 jim是一个程序员,就职于一家小型互联网公司做Java开发,平时就是使用Redis做缓存、分布式锁使用,突然有一天老板让jim统计一下一个页面的pvuv,当时的jim是一个小菜鸡(当然,现在也是,哈哈哈)一脸懵逼都不知道pv、uv是什么。 pv:page view的缩写,即页面浏览量,通常是衡量一个网络新闻频道或网站甚至一条网络新闻的热度的主要指标。 uv:unique visitor的简写,是指通过互联网访问、浏览这个网页的自然人,uv需要去重,同一个用户的
VC7 编译生成的__SEH_prolog__SEH_epilog分析
wrmsr的专栏
04-29 1419
在线搜索 | 有问题找看雪 VC7 编译生成的__SEH_prolog__SEH_epilog分析 标 题:VC7 编译生成的__SEH_prolog__SEH_epilog分析 作 者:Modifix 时 间:2010-10-04 00:29:20 链 接:http://bbs.pediy.com/showthread.php?t
Slurm的前处理prolog后处理epilog
h_m_l的博客
11-05 2684
1. Slurm前处理后处理 Slurm支持大量的prologepilog程序。 请注意,出于安全原因,这些程序没有设置搜索路径。 在程序中指定完全限定的路径名或设置“PATH”环境变量。 下面的第一个表格列出了可用于作业分配的prologepilog,它们的运行时间地点。 参数 地点 由...调用 用户 ...
Reverse:SEH
fishwheel的博客
06-04 978
的函数体在IDA是这样显示的,它首先完成对于SEH节点的添加,该节点的异常处理函数是,然后按照第1个参数的大小分配数据栈。
9、WinDBG高级调试技术全解析
最新发布
tgb3456789的博客
12-07 14
本文全面解析了WinDBG高级调试技术,涵盖安装配置、符号与源路径设置、调试场景应用、转储文件处理及SOS扩展使用。通过实际案例分析性能问题与资源泄漏的调试方法,并提供常见问题解决方案与最佳实践,帮助开发者高效利用WinDBG应对复杂调试挑战。
SEH 入门
商少
04-21 803
SEH 机制 Structedexception handling 结构化异常处理的简称。 这里介绍的异常处理并不是我们通常看到的__try__catch 语句,而是操作系统提供的一种异常机制。通过这种称为SHE 的机制,用户可以通过定义注册自己的异常处理函数以在异常出现的时候有机会执行自己的代码,决定程序流程。我们平时直观看到的异常处理机制都是编译器建立在windows SHE 基础之上的一
main前干的好事
KD的疯狂实验室
03-25 849
Main函数前工作都干了哪些好事呢?让我们一一查明
逆向分析Kernel32.dll!BaseProcessStart函数
03-12 4882
Kernel32.dll!BaseProcessStart汇编代码如下:7C817054 ; __stdcall BaseProcessStart(x)7C817054 _BaseProcessStart@4 proc near ; CODE XREF: BaseProcessStartThunk(x,x)+5j7C8170547C817054 ms_exc = CPPEH_RE
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 2385
SEH stack 结构探索(1)--- 从 SEH 链的最底层(线程第1个SEH结构)说起 线程的第 1 个 SEH 结构是什么时候构建的,我在线程启动例程找到答案:ntdll32!_RtlUserThreadStart() 里。 0:000:x86> uf ntdll32!_RtlUserThreadStart ntdll32!_RtlUserThreadStart:
更进一步认识SEH
hbrr224的专栏
05-11 2100
转载自-http://blog.programfan.com/article.asp?id=9837上一篇文章阿愚对结构化异常处理(Structured Exception Handling,SEH)有了初步的认识,而且也知道了SEH是__try,__except,__finally,__leave异常模型机制try,catch,throw方式的C++异常模型的奠基石。  为了更进一步认识S
【收藏】利用SEH进行反跟踪
Purpleendurer@优快云
06-27 1858
利用SEH进行反跟踪;我这里不想对 SEH 进行扫盲;当一个程序被调试时,遇到了int 3,那么调试器会中断。;当一个程序正常执行时,遇到了int 3,就产生了异常。系统会报错。如果我们设置了SEH,那么系统就;暂时不会报错,然后把处理权交给 SEH。我们在里面做一些手脚,就可以判断软件是否被跟踪了。;下面贴上我写的一个例程:.386.model flat, stdcalloption casem
SEH解释
ljjue的专栏
12-17 3800
跟踪程序:SEH_1源码编译连接后的程序:调试工具:Ollydbg v1.1(异常设置为忽略所有异常,即所有的复选框都打上勾)调试平台:XP SP21.操作系统为每个线程分配一个TEB结构的数据块,并用FS指向它:NT_TIB STRUCT       +0 ExceptionList   dd     ?     StackBase   dd    ?     StackLimit   dd
关于gcc汇编过程的一些事(一)
SVRach的博客
04-25 2142
一、前言   众所周知,C语言中“编译”这个词其实已经被泛化了。很多时候,该词直接取代了整个从c文件到到可执行文件的流程,但为了笔者叙述方便,本人有必要在此先做一些说明。   C语言的整套流程,准确的说是预处理、编译、汇编以及链接四个过程。预处理完成头文件展开与宏替换,得到i文件;编译将i文件转换为汇编指令——s文件;汇编将s文件转换为o文件;链接将多个o文件联合得到最终的可执行文件。详细内容网上其余文章已有详细说明,此处不再赘述。   此外,由于处理器的发展,现在32、64位机C语言的intlong都是
C温故补缺(十五):栈帧
Chocolate的博客
06-06 190
栈帧:也叫过程活动记录,是编译器用来实现过程/函数调用的一种数据结构,每次函数的调用,都会在调用栈(call stack)上维护一个独立的栈帧(stack frame)再来看ret,ret是将之前存的RIP给出栈,经过sub分配空间然后再add释放空间,pop rbp后,rsp刚好在旧的rip处。当发生函数调用时,也就是call时,callq 指令会自动将rip压入栈,并将rip指向被调用的函数,如。将当前栈帧切换到新栈帧(将esp值装入ebp,跟新栈底),此时ebp指向栈顶,
SEH分析笔记(X64篇)
FrankieWang008的专栏
12-18 7101
SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本。 [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文的原始稿,一样的内容,更好的高亮排版。 本文的部分代码可能会因为论坛的自动换行变得很乱,需要的朋友手动复制到自己的代码编辑器就可以正常显示了] 在之前的《SEH分析笔记(
__SEH_prolog4
06-11
__SEH_prolog4是一种汇编语言中的函数,用于在函数调用前设置异常处理机制。在Windows操作系统中,异常处理机制使用了结构化异常处理(Structured Exception Handling,SEH)技术,用来处理程序运行中的异常事件,例如除数为零、访问非法内存地址等。__SEH_prolog4函数会在程序进入函数时被调用,它会将当前的状态保存到栈中,并设置一个异常处理链。如果在函数执行过程中发生了异常,系统会沿着这个异常处理链来查找合适的异常处理程序。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值