hook对应的汇编码0x8B, 0xFF,0x55,0x8B, 0xEC, // mov ebp,esp

篡改UnhandledExceptionFilter
最新推荐文章于 2021-12-02 15:36:25 发布
转载 最新推荐文章于 2021-12-02 15:36:25 发布 · 2.3k 阅读 · 0

本文介绍了一种通过篡改 SetUnhandledExceptionFilter 函数实现的方法,该方法能够在 Windows 系统中修改异常处理流程,实现特定的内存保护或调试目的。 
void lockUnhandledExceptionFilter() {
    HMODULE kernel32 = LoadLibraryA("kernel32.dll");
    Assert(kernel32);

    if (FARPROC gpaSetUnhandledExceptionFilter = GetProcAddress(kernel32, "SetUnhandledExceptionFilter")) {
        unsigned char expected_code[] = {
            0x8B, 0xFF, // mov edi,edi
            0x55,       // push ebp
            0x8B, 0xEC, // mov ebp,esp
        };

        // only replace code we expect
        if (memcmp(expected_code, gpaSetUnhandledExceptionFilter, sizeof(expected_code)) == 0) {
            unsigned char new_code[] = {
                0x33, 0xC0,       // xor eax,eax
                0xC2, 0x04, 0x00, // ret 4
            };

            BOOST_STATIC_ASSERT(sizeof(expected_code) == sizeof(new_code));

            DWORD old_protect;
            if (VirtualProtect(gpaSetUnhandledExceptionFilter, sizeof(new_code), PAGE_EXECUTE_READWRITE, &old_protect)) {
                CopyMemory(gpaSetUnhandledExceptionFilter, new_code, sizeof(new_code));

                DWORD dummy;
                VirtualProtect(gpaSetUnhandledExceptionFilter, sizeof(new_code), old_protect, &dummy);

                FlushInstructionCache(GetCurrentProcess(), gpaSetUnhandledExceptionFilter, sizeof(new_code));
            }
        }
    }
    FreeLibrary(kernel32);
}
一个小巧的反汇编引擎
享受开发,颠倒银河
12-02 2539
从内核反汇编hook中截取的反汇编,非常小巧: #include #include #include //#include #include "libdasm.h" typedef unsigned char byte; byte bin[] = {0x55,0x89,0xE5,0x83,0xEC,0x08,0xC7,0x04,\ 0x24,0x01,0x00,0x00,0
IAT HOOK
enjoy5512的博客
06-02 1万+
IAT Hook的实现
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行
06-04 1578
作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731// ***************************************************************//  Author:  Sysnap     //  Link:    http://hi.baidu.c
VC++ Runtime Error 异常捕获之不挂的程序
11-22 3484
很多软件通过设置自己的异常捕获函数,捕获未处理的异常,生成报告或者日志(例如生成mini-dump文件),达到Release版本下追踪Bug的目的。但是,到了VS2005(即VC8),Microsoft对CRT(C运行时库)的一些与安全相关的代做了些改动,典型的,例如增加了对缓冲溢出的检查。新CRT版本在出现错误时强制把异常抛给默认的调试器(如果没有配置的话,默认是Dr.Watson),而不再通
SetUnhandledExceptionFilter
u013447420的博客
12-20 867
最近解决了一个困扰项目多年的问题:程序弹出崩溃窗口(CRT窗口,或者是调用了不可靠的第三方动态库弹出的窗口)。百度上搜索SetUnhandledExceptionFilter,都是这样的代 ---------------------------------------------------------------------------------------------------
UnicodeDecodeError: 'utf-8' codec can't decode byte 0x8b in position 1: invalid start byte
热门推荐
zhang_cl_cn的博客
07-03 4万+
**由于标题有字符限制没有办法将主题说的更明白,就将错误信息贴了上去,望谅解** 场景:使用Python进行斗鱼直播页面的爬取,爬取的url:https://www.douyu.com/ 当使用str(爬取的html字节,encoding='utf-8')进行一个编转换的时候报UnicodeDecodeError: 'utf-8' codec can't decode byte 0x8b in...
python | pandas 读csv数据报错: 0x8b 解决方案
求知:数据科学家之路
02-06 1万+
用pandas 读取csv数据报错了,报错内容如下:读取的代:import pandas as pd #载入数据: train = pd.read_csv('Train.csv')主要错误是:UnicodeDecodeError: ‘utf-8’ codec can’t decode byte 0x8b in position 2: invalid start byte全部显示信息pandas\p
Inline Hook
enjoy5512的博客
06-02 6742
Inline Hooking的实现
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1689
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
DASCTF&NepCTF 部分writeup
weixin_44145820的博客
06-26 4550
目录PWNoooorderspringboardeasyheap(本地成功)RET0p GearpyCharm521MagiaMISC透明度 PWN oooorder 一道不太复杂的题目,利用点都是之前遇到的,运气好拿到了一血 edit中进行了realloc,如果size为0就会执行free,利用这个进行double free,由于禁用了execve,需要用setcontext执行mprotect并执行orw的shellcode 关于orw部分,具体请见这篇博客:BUUCTF-PWN rctf_2019_
SetUnhandledExceptionFilter处理未捕获异常
sam的学习家园
07-20 5627
首先看下百度上的对此函数的解释。设置异常捕获函数.   当异常没有处理的时候,系统就会调用SetUnhandledExceptionFilter所设置异常处理函数.   例如一些程序在出错的时候,会向用户报告说程序那出错就是利用这个.例如QQ..   异常处理中的一部分   当发
[转]通过 SetUnhandledExceptionFilter 来禁止调试的小技巧
weixin_30765577的博客
05-10 179
src:http://evilcodecave.wordpress.com/2008/07/24/setunhandledexception-filter-anti-debug-trick/ SetUnhandledExceptionFilter() Anti Debug Trickis frequently used, especially inMalware Applications. ...
‘utf-8‘ codec can‘t decode byte 0x8b in position 2: invalid start byte
图灵追幕者博客录
04-09 1万+
用python的pandas模块中的pd.read_csv('Train_nyOWmfK.csv')函数读数据的时候遇到'utf-8' codec can't decode byte 0x8b in position 2: invalid start byte问题: 找不到代错误的原因,打开数据发现以下问题: 点击是出现以下说明: 原来文件后缀虽然是CSV,但是文件时间却...
‘utf-8‘ codec can‘t decode byte 0x8b in position 1 错误解决方案之一
weixin_44495539的博客
12-02 3950
使用urllib.request.urlopen来请求网页的数据,并用read()去读取数据时报出以下错误。 response = urllib.request.Request(url=url, headers=headers) response = urllib.request.urlopen(response) html = response.read().decode('utf-8') print(html) 经查资料了解到该错误是出现了无法用utf-8格式解析的内容,此时应该从浏览器中获取到该网
关于"无法定位程序输入点 RtlUnhandledExceptionFilter 于动态链接库"解决方法
永远不要放弃追求新知识
03-28 7791
无法定位程序输入点 RtlUnhandledExceptionFilter 于动态链接库 ntdll.dll 上 解决方法:1,对于winnt/2k:修改system32下面的uxtheme.dll为uxtheme.bak或者删除2,对于win9X:目录改为system
HOOK API
weixin_30326515的博客
08-27 146
硬编 HOOK API 这里实现 显示的 “失败” 换成 “成功了啊?” 77D507EA >- E9 733F6B88 jmp MyCrackM.00404762//这里是MessageBoxA 00404762 是 exe程序领空的一个地址 77D507EF 833D BC14D777 0>cmp dword ptr ds:[0x7...
【干货】汇编修改,优先考虑简短的汇编字节, B0 08 mov al,0x8
追逐光芒,追随内心
03-01 657
034449A2 B0 08 mov al,0x8 以上我们在修改反汇编的时候 不用应该用 mov eax,0x8 034449A2 B8 08000000 - mov eax,00000008 以上我们在修改反汇编的时候 不用应该用 mov eax,00000008 尽量减少字节,防止接下来的代别NOP掉 ...
SetUnhandledExceptionFilter和VS2005
无本之木
07-27 1088
 Visual C++ 2005 CRT library tends to call Dr.Watson directly in some emergency cases, ignoring user-defined unhandled exception filter. We need an ability to configure this behavior.RationaleWhen a
实现 UnhandledExceptionFilter() 需要的几个问题
Nick 开发日志
12-12 2876
dump file 是分析程序 crash 的利器, 在程序 crash 时写 dump 文件就是很自然的了. 而想要在程序 crash 的时候写 dump, 就不得不提 UnhandledExceptionFilter() 函数. 通过 API SetUnhandledExceptionFilter() 将自己写的 UnhandledExceptionFilter() 告诉操作系统, 系统在程序
解释前后 1 times, 1 pages, PID -1, task_comm_name: : post_alloc_hook+0x20/0x2c prep_new_page+0x24/0x74 get_page_from_freelist+0x34c/0x838 __alloc_pages_nodemask+0x144/0x1d8 alloc_slab_page+0x3c/0x240 new_slab+0xec/0x248 ___slab_alloc.isra.0.constprop.0+0x140/0x2e4 __kmalloc+0xb4/0x144 __d_alloc+0x124/0x188 d_alloc+0x18/0x6c d_alloc_parallel+0x6c/0x2f0 __lookup_slow+0x60/0x124 lookup_one_len+0x84/0x94 ovl_create_or_link+0x15c/0x4ac ovl_create_object+0xac/0x10c ovl_create+0x20/0x28 和 652 times, 652 pages, PID -1, task_comm_name: : post_alloc_hook+0x20/0x2c prep_new_page+0x24/0x74 get_page_from_freelist+0x34c/0x838 __alloc_pages_nodemask+0x144/0x1d8 alloc_slab_page+0x3c/0x240 new_slab+0xec/0x248 ___slab_alloc.isra.0.constprop.0+0x140/0x2e4 __kmalloc+0xb4/0x144 __d_alloc+0x124/0x188 d_alloc+0x18/0x6c d_alloc_parallel+0x6c/0x2f0 __lookup_slow+0x60/0x124 lookup_one_len+0x84/0x94 ovl_create_or_link+0x15c/0x4ac ovl_create_object+0xac/0x10c ovl_create+0x20/0x28
最新发布
04-01
<think>嗯,用户给了一个关于内核内存分配和OverlayFS的问题。看起来是某个性能分析工具的输出,比如ftrace或者perf,显示两个调用堆栈,次数分别是1次和652次,涉及页面分配和slab分配。 首先,我需要理解每个函数的作用。比如post_alloc_hook和prep_new_page属于内存分配的后期处理,可能检查新分配的页面。get_page_from_freelist是从空闲列表获取页,__alloc_pages_nodemask是底层页分配函数。alloc_slab_page和new_slab是slab分配器的一部分,用于管理内核对象。__kmalloc是内核内存分配函数,接着是d_alloc系列函数,属于dentry缓存分配,最后是OverlayFS的创建流程,比如ovl_create_or_link。 然后,用户提供的两个堆栈结构相同,但次数不同。652次可能意味着频繁的内存分配,可能在文件系统操作中有大量dentry创建。需要分析是否正常,或者是否存在内存泄漏或性能问题。比如OverlayFS在创建文件时频繁分配dentry,或者存在路径查找的重复操作。 可能需要建议用户检查文件系统操作频率,确认是否预期行为,或者使用工具如slabtop查看slab使用情况,检查内存泄漏。另外,PID为-1可能表示进程上下文不重要,或是内核线程。需要进一步的信息,比如系统负载、具体应用场景等。 需要确保回答结构清晰,分点解释每个函数,然后分析可能的原因和建议。同时注意使用中文,符合格式要求,数学表达式用$...$,但这里可能不需要。需要验证LaTeX语法正确,但当前内容可能不涉及复杂公式,主要注意代块和函数名的格式。</think>以下是对该内存分配调用链的逐步分析: $$调用链结构:$$ 1. **内存分配核心路径** - `post_alloc_hook+0x20/0x2c`:内存页分配后的完整性检查钩子函数 - `prep_new_page+0x24/0x74`:初始化新分配的物理内存页 - `get_page_from_freelist+0x34c/0x838`:从空闲列表获取可用内存页 - `__alloc_pages_nodemask+0x144/0x1d8`:NUMA节点感知的内存页分配核心函数 2. **slab分配器路径** - `alloc_slab_page+0x3c/0x240`:为slab分配新的内存页 - `new_slab+0xec/0x248`:创建新的slab对象池 - `___slab_alloc.isra.0.constprop.0+0x140/0x2e4`:slab分配器的慢路径 - `__kmalloc+0xb4/0x144`:内核内存分配通用接口 3. **文件系统相关路径** - `__d_alloc` → `d_alloc` → `d_alloc_parallel`:目录项(dentry)缓存分配 - `lookup_one_len` → `ovl_create_or_link`:OverlayFS文件创建操作 $$差异分析:$$ | 特征 | 第一次调用(1次) | 第二次调用(652次) | |-----------|------------------|------------------| | 触发频率 | 单次 | 高频重复 | | 可能场景 | 初始化操作 | 持续文件创建 | | 内存页消耗 | 1页 | 652页 | | 性能关注点 | 基础开销 | 潜在性能瓶颈 | $$技术建议:$$ 1. **高频分配诊断** - 使用 `slabtop -o` 观察 `dentry` 和 `kmalloc-*` 的 slab 使用量 - 检查 OverlayFS 层数配置:`mount -t overlay -o lowerdir=...` - 通过 `perf record -g -a` 捕获完整调用链 2. **优化方向** ```c // 典型 dentry 缓存参数调整 sysctl -w vm.vfs_cache_pressure=150 // 增加回收积极性 sysctl -w fs.dentry-state // 监控 dentry 缓存状态 ``` 3. **OverlayFS特性注意** - 写时复制(CoW)机制会导致频繁的 dentry 创建 - 检查 upperdir 文件系统的 I/O 性能 - 确认是否启用 `redirect_dir` 等优化特性 该现象可能表示: - 正常行为:大规模文件操作场景下的预期分配 - 异常情况:存在 dentry 泄漏或路径查找效率问题 建议结合 `dcache_stat` 统计和 `find /sys/kernel/slab/ -name "dentry"` 的 slab 信息进行深入分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值