vc++6对windows SEH扩展分析 一文拾遗

最新推荐文章于 2025-08-17 15:52:42 发布
原创 最新推荐文章于 2025-08-17 15:52:42 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SEH

本文详细探讨了VC++6.0扩展的SEH节点结构,并通过调试代码揭示了堆栈中PEXCEPTION_POINTERS变量的实际位置。文章深入分析了异常处理流程,解释了过滤函数如何在执行过程中使用异常函数中的栈变量,并通过save/loadebp技术实现。此外,文章还揭示了except_handler3函数内部的细节,包括ebp的恢复过程和过滤函数调用方式。

    前一篇文章vc++6对windows SEH扩展分析 尚有遗漏,本篇加以补齐。

    其实本文参考csdn上一篇名为<Win32结构化异常处理(SEH)--异常处理程序(__try/except)>,同时提出了一些质疑。

  作者罗列了vc++6.0扩展的SEH节点的结构如下:

struct _EXCEPTION_REGISTRATION
   {
     struct _EXCEPTION_REGISTRATION *prev;
     void (*handler)(PEXCEPTION_RECORD,
           PEXCEPTION_REGISTRATION,
           PCONTEXT,
           PEXCEPTION_RECORD);
     struct scopetable_entry *scopetable;
     int trylevel;
     int _ebp;
     PEXCEPTION_POINTERS xpointers;
   };

如前一篇<vc++6对windows SEH扩展分析 >所述,这个结构是在进入函数时按push ebp/push 0xff一系列操作在堆栈上形成一个_EXCEPTION_REGISTRATION节点。一般而言push ebp是进入函数的第一条语句,那么,在栈中地址高于int _ebp的指针变量xpointers是谁压入的?一般而言,堆栈中[ebp+4]是函数返回地址,因此可以认为作者可能笔误写错了PEXCEPTION_POINTERS xpointers;在整个结构中的位置。那么,这个域在哪?本文通过调试代码,回答这个问题。

产生异常的代码如下:

#include <windows.h>

int filter1(EXCEPTION_POINTERS* excpInfo)
{
	DWORD accAddr = excpInfo->ExceptionRecord->ExceptionInformation[1];
	excpInfo->ContextRecord;
	return EXCEPTION_EXECUTE_HANDLER;
}


int main()
{
	int* a = NULL;
	__try
	{
		(*a)=0xcc;
	}
	__except(filter1(GetExceptionInformation()))
	{
		MessageBox(NULL,"","",MB_OK);
	}
	return 0;

}
程序触发异常后传入4个参数然后进入except_handler3,原型如下: 

int __except_handler3( 
 struct _EXCEPTION_RECORD * pExceptionRecord,
 struct EXCEPTION_REGISTRATION * pRegistrationFrame,
 struct _CONTEXT *pContextRecord,
 void * pDispatcherContext );

except_handler3源码没有,忍忍看看反汇编的结果:

__except_handler3:
00401234   push        ebp
00401235   mov         ebp,esp
00401237   sub         esp,8
0040123A   push        ebx
0040123B   push        esi
0040123C   push        edi
0040123D   push        ebp
0040123E   cld
0040123F   mov         ebx,dword ptr [ebp+0Ch] ;ebx指向第二个参数
00401242   mov         eax,dword ptr [ebp+8] ;[ebp+8]指向第一个参数
00401245   test        dword ptr [eax+4],6
0040124C   jne         __except_handler3+0A0h (004012d4)
00401252   mov         dword ptr [ebp-8],eax
00401255   mov         eax,dword ptr [ebp+10h] ;[ebp+10h]指向第三个参数
00401258   mov         dword ptr [ebp-4],eax
0040125B   lea         eax,[ebp-8]
0040125E   mov         dword ptr [ebx-4],eax
注释说了,ebx指向第二个参数,这个其实是发生异常前main函数中堆栈中压入的struct _EXCEPTION_REGISTRATION结构。这段代码中有这么几句: 

00401242   mov         eax,dword ptr [ebp+8] ;[ebp+8]指向第一个参数
<pre name="code" class="cpp">00401252   mov         dword ptr [ebp-8],eax
...
00401255   mov         eax,dword ptr [ebp+10h] ;[ebp+10h]指向第三个参数
00401258   mov         dword ptr [ebp-4],eax
...
<pre name="code" class="cpp">0040125E   mov         dword ptr [ebx-4],eax ;把结构的起始地址放入地址[pRegistrationFrame-4]






这段代码,把参数1 3放入某个结构中,然后把这个结构的地址传给[pRegistrationFrame-4],按照<Win32结构化异常处理(SEH)--异常处理程序(__try/except)>一文的作者描述,这个结构就是PEXCEPTION_POINTERS
 xpointer。前面多次说过pRegistrationFrame是ide在堆栈上形成的结构,pRegistrationFrame-4相当于往堆栈上又压入一个4字节变量,因此,可以确定vc++6.0扩展的结构的原型应该是:


<pre name="code" class="cpp"><pre name="code" class="cpp">PEXCEPTION_POINTERS xpointers;



struct _EXCEPTION_REGISTRATION   {

     struct _EXCEPTION_REGISTRATION *prev;     void (*handler)(PEXCEPTION_RECORD,           PEXCEPTION_REGISTRATION,           PCONTEXT,           PEXCEPTION_RECORD);     struct scopetable_entry *scopetable;     int trylevel;     int _ebp;   };

两个变量紧挨在一起



当然也可以查看内存值:




触发异常之前,ebp=0x12ff48,trylevel=0x00,handler=0x403118,prev=0x12ff78;而0x12ff34,即xpointer处为0x83;






触发异常执行到
<pre name="code" class="cpp"><pre name="code" class="cpp">mov         dword ptr [ebx-4],eax ;把结构的起始地址放入地址[pRegistrationFrame-4]






语句之后







0x12FF34处值为0x12FAEC。而地址0012FAEC处的内存为:


0012FAE4  00 00 00 00 00 00 00 00  ........
0012FAEC  E0 FB 12 00 FC FB 12 00  帑....
0012FAF4  18 FB 12 00 79 71 85 77  ....yq厀
明眼人一看0x12FBE0和0x12FBFC就知道是堆栈值。可以在按ebp的值查看函数参数和返回地址:

0012FAEC  25 E1 82 77 DD AE 6C 00  %醾w莓l.
0012FAF4  18 FB 12 00 79 71 85 77  ....yq厀
0012FAFC  E0 FB 12 00 38 FF 12 00  帑..8...
0012FB04  FC FB 12 00 B4 FB 12 00
这两个值果然是except_handler3的两个参数。

由此至少可以说明




<pre name="code" class="cpp"><pre name="code" class="cpp"><pre name="code" class="cpp">PEXCEPTION_POINTERS xpointers;



struct _EXCEPTION_REGISTRATION   {

     struct _EXCEPTION_REGISTRATION *prev;

void (*handler)(PEXCEPTION_RECORD,PEXCEPTION_REGISTRATION,PCONTEXT,PEXCEPTION_RECORD);

struct scopetable_entry *scopetable;

int trylevel;

int _ebp;

};




这个结构才是vc6扩展的SEH节点。到此本文可以完结了,但是调试代码时发现一个有趣的地方,就是从except_handler3跳去过滤函数执行时,except_handler3为了使得过滤函数中能使用异常函数中定义的栈变量,用了save/load ebp大法:



00401273   push        ebp
00401274   lea         ebp,[ebx+10h]
00401277   call        dword ptr [edi+ecx*4+4]

call指令将调用scopetable数组中定义的过滤函数,然而在此之前except_handler3从[ebx+10h]处恢复ebp的值,那么[ebx+10h]是啥?首先可以确定ebx还是进入except_handler3时设置的ebx,其指向_EXCEPTION_REGISTRATION。_EXCEPTION_REGISTRATION+10H不就是_EXCEPTION_REGISTRATION!ebp吗?这个ebp是进入main函数时保存的函数帧,因此可以通过相对于ebp的偏移取得main函数中的变量。

至于GetExceptionInformation()函数,就是取except_handler3设置的xpointer地址:


18:       __except(filter1(GetExceptionInformation()))
004010B5   mov         ecx,dword ptr [ebp-14h]
004010B8   push        ecx
004010B9   call        @ILT+5(filter1) (0040100a)
004010BE   add         esp,4

在正式进入过滤函数后,由于有一次push ebp修改了函数栈帧,因此不能在过滤函数用调用GetExceptionInformation














                

        

    



  



    



                



	

		

			

				
					
Windows SEH异常处理讨论

				
			

			

				

					Zhanglin_Wu的专栏, C++, Scrum, LLVM, 编译器
				

				

					11-01
					
					779
					
				

			

		

		

			
				
程序直接退出了,没有输出"Program finished normally"。即用C++ throw关键字抛出的C++ exception,则利用C++ try-catch即能捕获。可以看出,应用层已经无法利用ExceptionHander捕获DLL触发的内存异常,直接退出。首先,我们来证明,这类异常是无法通过C++ try-catch捕获的。可以看出,应用层利用ExceptionHander捕获了DLL触发的内存异常,然后程序退出。程序可以对C++异常进行处理,然后再继续正常地运行,或者正常地退出。

			
		

	



                

            
              



	

		

			

				
					
MinGW x86-64-8.1.0-release-posix-seh-rt-v6-rev0

				
			

			

				

					05-06
				

			

		

		

			
				
MinGW (Minimalist GNU for Windows) 是一个开源项目,它为Windows操作系统提供了GCC(GNU Compiler Collection)编译器和其他GNU工具集,使得开发者能够在Windows环境下使用标准的GNU工具进行C、C++等语言的开发。...

			
		

	



              


  
              

                


	

		

			

				
					
vc++6windows SEH扩展分析

				
			

			

				

					lixiangminghate的专栏
				

				

					08-11
					
					1006
					
				

			

		

		

			
				
相传FS:[0]指向线程的异常处理链表。汇编高手们为了向链表中添加异常处理节点,通常会如下编码:
push ExceptHandler  1)
mov eax,fs:[0]      2)
push eax            3)
mov fs:[0],esp      4)    真是简单的4句话,够小鸟们领悟半天了。首先看异常处理块的定义:
struct EXCEPTION_REGIS

			
		

	





	

		

			

				
					
vc2005 seh新认识

				
			

			

				

					weixin_34144848的博客
				

				

					06-20
					
					312
					
				

			

		

		

			
				
由于生计问题,我不得不写一段关于异常处理的代码,我的程序是多线程的,我的目的是要在某个线程发生异常的时候结束本线程,保存出错信息,重新启动一个新线程增加程序稳定性,于是呼打开vs 2005就开工了,新建一个测试程序
void__stdcallSetCatchProc(void*pCProc){__asm{pushpCProcpushfs:[0]m...

			
		

	



		

			
		



	

		

			

				
					
C++中使用SEH

				
			

			

				

					weixin_34253126的博客
				

				

					06-29
					
					854
					
				

			

		

		

			
				
Alt+F7 => C++ => Code Generation => Enable C++ Exception,选择”Yes with SHE Exceptions”  另外,用VS2005编译驱动的时候,如果使用SEH,可能会把kernel32.dll link到驱动里。这样讲导致驱动不能正常加载。  简单的办法是:  Alt+F7 => Linker => In...

			
		

	





	

		

			

				
					
Win32结构化异常处理(SEH)——终止处理程序(__try/__finally) 

				
			

			

				

					mm350670610的专栏
				

				

					04-29
					
					2325
					
				

			

		

		

			
				
环境:VC++6.0, Windows XP SP3        当我们想编写一个健壮的程序时,我们会用到异常处理,对各种异常进行考虑并进行处理。现在在各种语言都有自己的异常处理机制,比如C++的try, catch, throw,JAVA也一样。不过它们的实现都要基于OS。        Microsoft为了使系统程序和应用程序更加健壮,把异常处理加入了Windows。这里的

			
		

	





	

		

			

				
					
vc++6中的结构化异常处理try-except-finally语句

				
			

			

				

					冷月宫主的专栏
				

				

					11-28
					
					1385
					
				

			

		

		

			
				
原帖及讨论:http://bbs.bc-cn.net/dispbbs.asp?boardID=55&ID=166791

*/ --------------------------------------------------------------------------------------
*/ 出自: 编程中国  http://www.bc-cn.net
*/ 作者: miss

			
		

	





	

		

			

				
					
__try/__finally:VC++6.0中Windows SEH的终止处理程序详解

				
			

			

				

					
				

			

		

		

			
				
本文主要探讨了VC++6.0环境下Windows Structured Exception Handling (SEH)机制中的终止处理程序(__try/__finally)部分。在C++和其他编程语言中,异常处理是一种重要的编程实践,用于处理程序运行时可能出现的错误或...

			
		

	





	

		

			

				
					
59、Windows SEH 异常处理机制详解

					
最新发布

				
			

			

				

					tomato的博客
				

				

					08-17
					
					149
					
				

			

		

		

			
				
本文详细解析了 Windows 系统中的结构化异常处理机制(SEH),包括其基本原理、不同版本(SEH3、SEH4)的实现方式以及在 x64 架构下的优化处理。通过代码示例和汇编分析,深入探讨了异常处理链的工作流程、作用域表结构、安全保护机制以及在实际开发中的应用技巧。文章还对比了不同版本之间的差异,帮助开发人员在实际项目中选择合适的异常处理策略,提升程序的健壮性和安全性。

			
		

	





	

		

			

				
					
Windows_SEH.zip_SEH

				
			

			

				

					09-23
				

			

		

		

			
				
SEH提供了对异常的精确控制,允许程序员处理特定类型的异常,从而提高程序的健壮性和安全性。同时,由于SEH是内置于操作系统的,因此它的性能通常优于用户自定义的异常处理机制。  ### 6. 防止堆栈溢出  SEH也可以...

			
		

	





	

		

			

				
					
Windows异常世界历险记(三)——VC6中结构化异常处理机制的反汇编分析(上)

				
			

			

				

					LPWSTR的博客
				

				

					01-29
					
					673
					
				

			

		

		

			
				
在《Visual C++异常处理机制原理与应用》部分,我们讲解了Visual C++提供的结构化异常处理机制,并对其中比较简单的终止型异常处理程序在部分条件下(自然执行、提前越出、__leave关键字等)进行了反汇编分析。下面我们继续对整个Visual C++结构化异常处理机制进行分析。

本次分析的目标环境是VC++ 6.0,这是一款已经有些“美人迟暮”的集成开发环境。使用它进行分析,主要原因如

			
		

	





	

		

			

				
					
VC7 编译生成的__SEH_prolog和__SEH_epilog分析

				
			

			

				

					wrmsr的专栏
				

				

					04-29
					
					1422
					
				

			

		

		

			
				
在线搜索
|
有问题找看雪






VC7 编译生成的__SEH_prolog和__SEH_epilog分析





标 题:VC7 编译生成的__SEH_prolog和__SEH_epilog分析
作 者:Modifix
时 间:2010-10-04 00:29:20

链 接:http://bbs.pediy.com/showthread.php?t

			
		

	





	

		

			

				
					
用C实现SEH的例子&如何跟进SEH

				
			

			

				

					weixin_34380296的博客
				

				

					05-12
					
					187
					
				

			

		

		

			
				
代码

#include<windows.h>#include<stdio.h>DWORDscratch;typedefstruct_MYCONTEXT{DWORDContextFlags;DWORDDr0;DWORDDr1;DWORDDr2;DWORDDr3;DWORDDr...

			
		

	





	

		

			

				
					
关于在DLL中的“C++异常”与“SEH异常”的一点心得与说明

				
			

			

				

					BoweirrKing的专栏
				

				

					01-12
					
					1317
					
				

			

		

		

			
				
概念:
“C++异常”就是 try{}catch(...){}
“SEH异常”就是 __try{} __except(-1/0/1){}
(关于这两种异常,如有不了解的地方,网上有很多资料可以参考)


目前微软所有的VC编译器(从VC6到VC2010),都默认是打开对C++异常的编译支持的(位于项目选项中的“代码生成”->启用C++异常:/EHsc,VC6是Enable Except

			
		

	





	

		

			

				
					
简单演示Exploit SEH原理(未开启SafeSEH模块)

				
			

			

				

					lixiangminghate的专栏
				

				

					08-24
					
					1416
					
				

			

		

		

			
				
前面写了不少SEH相关文章,这里来个复杂点的栈溢出SEH。文章不重复解释SEH运行原理,但对主要步骤加以调试和注释,另外本文参考考了雪上 Exploit 编写系列教程第三篇_基于SEH的Exploit 一文。一般来说Exploit重在溢出,不过本文旨在是演示Exploit SEH的原理,因此省略溢出过程直接在栈上修改。
程序源码(vc++6.0 Debug版本)如下:    
#include

			
		

	





	

		

			

				
					
VC异常处理

				
			

			

				

					dyf7970268的专栏
				

				

					05-11
					
					1030
					
				

			

		

		

			
				
SEH定义
  SEH("Structured Exception Handling"),即结构化异常处理.是(windows)操作系统提供给程序设计者的强有力的处理程序错误或异常的武器。   在VISUAL C++中你或许已经熟悉了_try{} _finally{} 和_try{} _except {} 结构,这些并不是编译程序本身所固有的,本质上只不嵌詗indows内在提供的结构化异常处理

			
		

	





	

		

			

				
					
C++ 虚函数若干问题

				
			

			

				

					HappyJandun's 学习笔录
				

				

					11-24
					
					1324
					
				

			

		

		

			
				
等会回来整理。
理解虚函数( virtual function )的几个关键点:
1.
理解早绑定(early binding)、晚绑定(late binding)。所谓early binding:On compile time,就能明确一个函数调用是对哪个对象的哪个成员函数进行的,即编译时就晓得了确定的函数地址;所谓late
 binding:On compile time,对函数(虚函

			
		

	





	

		

			

				
					
C++语言中的预编译指令记录

				
			

			

				

					人工智能讲师团
				

				

					04-21
					
					429
					
				

			

		

		

			
				

                                                    
                                                        开发十年,就只剩下这套Java开发体系了
&gt;&gt;&gt;   
                                        
            ...

			
		

	





	

		

			

				
					
SEH的EXCEPTION_CONTINUE_EXECUTION

				
			

			

				

					
				

				

					11-30
					
					2492
					
				

			

		

		

			
				
因为工作需要,又要研究一下C++的Exception机制,用MSVC的话,自然又要了解一下Windows的Standard Exception Handling(简称SEH,不是SHE),实际上MSVC的Exception机制就是基于SEH的。 在这个链接(http://51cmm.csai.cn/ExpertEyes/No159.htm)上,介绍了一下SEH在VC中的体现,就是__try

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值