xp下GetLastError实现

最新推荐文章于 2021-11-11 10:53:40 发布
最新推荐文章于 2021-11-11 10:53:40 发布
阅读量966 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 调试 文章标签: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lixiangminghate/article/details/51793157
本文详细解析了Win32API中的GetLastError函数的工作原理,包括如何从线程TEB结构中获取错误代码,并通过修改内存值来影响函数返回值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    大家对这个win32 API一定很熟悉了,那就来看下他的实现:

0:001> x *!GetLastError  //搜索符号地址
7c830759 kernel32!GetLastError = <no type information>

0:001> uf 7c830759 
kernel32!GetLastError:
7c830759 64a118000000    mov     eax,dword ptr fs:[00000018h]
7c83075f 8b4034          mov     eax,dword ptr [eax+34h]
7c830762 c3              ret
    先获得线程teb,然后从teb+0x34处获得DWORD值,这个值就是错误值。顺带看下线程TEB结构: 

0:001> dt _teb @$teb
ntdll!_TEB
   +0x030 ProcessEnvironmentBlock : 0x7ffdd000 _PEB
   +0x034 LastErrorValue   : 0xcb
    执行GetLastError验证一下结果是不是为0xcb:
    
0:000> g
GetLastError:203
    写到这,想到teb+0x34是个内存值,调试时修改这个值应该也会影响GetLastError的返回值吧。思路是这样:单步进入GetLastError,当获得teb的值以后修改teb+0x34处的值,最后GetLastError的值由eax返回,试一下: 

0:000> l-t //逐指令运行
Source options are 0:
    None
0:000> t  //准备获得teb的地址
ntdll!RtlGetLastWin32Error:
7c92fe01 64a118000000    mov     eax,dword ptr fs:[00000018h] fs:003b:00000018=7ffdd000
0:000> t  //
ntdll!RtlGetLastWin32Error+0x6:
7c92fe07 8b4034          mov     eax,dword ptr [eax+34h] ds:0023:7ffdd034=000000cb
0:000> r eax //获得teb地址
eax=7ffdd000
0:000> e 7ffdd000+0x34 ff //修改LastErrorValue
0:000> t
eax=000000ff ebx=00000000 ecx=00000001 edx=00000000 esi=00000001 edi=01003678
eip=7c92fe0a esp=0006ff50 ebp=0006ff7c iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!RtlGetLastWin32Error+0x9:
7c92fe0a c3              ret
0:000> r eax //GetLastError的返回值
eax=000000ff
最后看下OutputDebugString(buff);的输出:0xFF(Hex)=255
0:000> g
GetLastError:255







自己写一个GetLastError()函数
一只懒虫的博客
07-02 649
文章目录1.简述2.设计3.程序4.程序不足之处 1.简述 windows编程中常见到GetLastError(),项目里也经常见到,所以自己动手写一个,以便用到项目里。 windows下clion+gcc+cpp11 2.设计 按需求看,GetLastError()函数是个全局函数,所以要使用单例模式设计类,以便全局使用。 获取最后一个error,符合FIFO,所以采用stack数据结构。...
dll之loadbitmap失败 getlasterror返回1813 1814的解决
yeyingting30的博客
05-26 6058
最近用DLL做单纯的资源供给部件遇到了LoadBitmap失败的问题(返回1813,1814),经过不懈的努力总算搞清楚是怎么回事了。   问题的生产:   我把一个dLL(zy.dll)装进了一张位图(IDB_BITMAP1)和一个图标(IDI_ICON1),然后通过程序DllzyTest来调用。调试运行不 成功,返回1813和1814。   下面是1813和1814的意义:   
GetLastError函数实现
Changju博客
10-25 1648
MSDN上说这个函数返回的是当前线程最近一次错误码,这个错误码是通过调用SetLastError函数设置的,具体实现其实相当简单,也就两句汇编代码     mov eax, dword ptr fs:[18h]     mov eax, dword ptr [ecx + 34h]     首先获得TEB指针,然后读TEB起始偏移0x34位置的值,查阅TEB结构得知,这个值就是LastErro
Mongodb写入安全机制--GetLastError
mniwc的专栏
11-01 3629
http://blog.chinaunix.net/uid-15795819-id-3373361.html
c++学习之 根据GetLastError 返回值获取错误信息
ffghggf的博客
02-12 1005
c++学习之 根据GetLastError 返回值获取错误信息
XP下串口的读写(VC)
10-12
总结,使用VC进行Windows XP下的串口读写,涉及到串口的基本概念、API函数的应用、界面设计以及事件处理等多方面知识。通过理解和实践这些知识点,开发者能够创建出功能完善的串口通信应用程序。
Windows XP环境下双线程显示北京伦敦时间的C语言实现
在Windows XP环境下使用C语言进行多线程编程以分别显示北京...以上知识点综合涵盖了在Windows XP下,使用C语言和Win32 API进行多线程编程的基础知识和实现细节,以及涉及到的线程同步、时区处理和常见问题解决方法。
VC++实现Windows 2000/XP下的休眠
02-23
在Windows 2000/XP系统中,实现休眠功能涉及到系统权限的调整和系统状态的设置。以下是对这一过程的详细解析: ### 1. 系统权限调整 在Windows系统中,进行系统级别的操作(如休眠、关机等)通常需要提升权限。代码...
受限token实现xp下沙箱设计的关键概念之DAC
深度技术安全
09-02 2664
DAC机制: DAC(DiscretionalAccess Control,自主访问控制),需要先了解下面三个概念:SID、Token和SD。 1、SID Security identifier,安全标识符,标识系统中执行各种动作的实体,用户,本地用户组,域中用户组
系统错误文本获取功能:GetLastError转std::string
7. 操作系统兼容性: 提到的Windows XP、Windows Server 2003、Windows 2000等系统都提供了GetLastError和FormatMessage函数的支持,因此可以在这些系统上使用上述封装的错误处理功能。 8. Windows SDK: Windows软件...
c++调试重要武器GetLastError
Guyf的专栏
11-24 777
GetLastError(); 通过获取错误码,快速定位错误
Windows 之 GetLastError()列表
enjoy.day
11-11 836
GetLastError()返回值列表: 〖0〗-操作成功完成。〖1〗-功能错误。〖2〗-系统找不到指定的文件。〖3〗-系统找不到指定的路径。〖4〗-系统无法打开文件。〖5〗-拒绝访问。〖6〗-句柄无效。〖7〗-存储控制块被损坏。〖8〗-存储空间不足,无法处理此命令。〖9〗-存储控制块地址无效。〖10〗-环境错误。〖11〗-试图加载格式错误的程序。〖12〗-访问码无效。〖13〗-数据无效。〖14〗-存储器不足,无法完成此操作。〖15〗-系统找不到指定的驱动器。〖16〗-无法删除目录。〖17〗-系统无法将文.
FormatMessage与GetLastError配合使用,排查windows api调用过程中的错误
weixin_30642305的博客
11-22 189
前一段时间在学习windows api调用过程中,遇到过一些调用错误或者程序没能显示预期的结果,或者直接出现vc运行时错误。 这对新手来说是司空见惯的事,因为不太熟悉难免会出错,出错的信息如果能显示很好的关键字到网上搜索一下倒是很好的,例如 返回错误代码:2。你可以使用Visual studio套件里面的Error Lookup查询一下系统消息列表中的请求消息(system message-t...
导出表(EAT)规则特例
yellow的博客
02-26 652
GetLastError( )函数由kernel32.dll库文件导出,用ida打开找到该函数,发现没有汇编代码,只有一段字符串定义(和微软的导出表规则不太一样哦),下图: 再转到ntdll.dll查找RtlGetLastWin32Error( )函数源代码,如下图: 代码解释:获取TEB地址,再获取TEB偏移0x34处的4字节数据返回 查看TEB结构,偏移0x34处LastErro...
GetCurrentProcess/Thread(Id)的反汇编
misterliwei的专栏
12-08 2050
kernel32!GetCurrentProcessId:7c8099b0 64a118000000    mov     eax,dword ptr fs:[00000018h]7c8099b6 8b4020          mov     eax,dword ptr [eax+20h]7c8099b9 c3              retkernel32!GetCurrentProcess
多开限制突破
huobengle
08-02 1940
1.Findwindow突破 bp FindWindowW,运行程序断下来,执行到返回,来到下面 004F0E5C 8BF4 mov esi,esp 004F0E5E 68 B8466A00 push FindWind.006A46B8 ; UNICODE "FindWindow" 004F0E63 6A 0...
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 6177
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值