SEH原理剖析

最新推荐文章于 2023-05-21 21:02:26 发布
原创 最新推荐文章于 2023-05-21 21:02:26 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Windows操作系统的结构化异常处理(SEH)机制,包括TEB数据结构、异常链表的工作原理,以及如何手动注册和处理异常。示例代码展示了如何创建SEH节点、抛出异常以及从异常链中移除SEH节点的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用户层数据结构 TEB
TEB 第一个字段是NtTib,NtTib的第一个字段ExceptionList是一个链表的头结点的首
地址.
当产生异常,系统会通过FS:[0]找到这个链表,依次调用处理异常.
typedef struct _EXCEPTION_REGISTRATION_RECORD{
struct _EXCEPTION_REGISTRATION_RECORD* next; //下一个seh
PEXCEPTION_ROUTINE Handler; //异常处理函数
}EXCEPTION_REGISTRATION_RECORD
SEH函数原型
LONG NTAPI sehExcept(
_Inout_struct_EXCEPTION_RECORD* ExceptionRecord; //异常信息
_In_PVOID EstablisherFrame;
_Inout_struct_CONTEXT* ContextRecord; //寄存器状态信息
_In_PVOID DispatcherContext);
//手工注册SEH
//代码实现
LONG NTAPI sehExcept(
_Inout_struct_EXCEPTION_RECORD* ExceptionRecord; //异常信息
_In_PVOID EstablisherFrame;
_Inout_struct_CONTEXT* ContextRecord; //寄存器状态信息
_In_PVOID DispatcherContext)
{
printf(“123456”);
return 0;
}
void fun()
{
EXCEPTION_REGISTRATION_RECORD sehNode; //新SEH
//将异常过滤函数保存到节点中
sehNode.Handler = (PEXCEPTION_ROUTINE)seExcept;
sehNode.Next = 0;
//获取旧的SEH头结点
_asm mov eax,DWORD PTR FS:[0];
//将旧的SEH头结点的地址保存待Next中
_asm mov DWORD PTR DS:[sehNode.Next],eax;
//将新结点的首地址保存大FS:[0]
_asm lea eax,sehNode;
_asm mov FS:[0],eax;
//抛出异常
(int)0 = 0;
//从异常链中删除本次的SEH结点
_asm mov eax,DOWRD PTR DS:[sehNode.Next];
_asm mov fs:[0],eax;
}
int main()
{
__try{
fun()
}
__except(1)
{
}
}

异常与调试之SEH、UEH、VEH、VCH以及SEH原理
qq_28518147的博客
01-02 2747
一、SEH 1、终止处理的SEH #include <iostream> #include <windows.h> // 终结处理器: 由 __try 、 __finally 和 __leave 构成。 // 能够保证无论 __try 中的指令以何种方式退出,都必然会 // 执行 __finally 块。【不会处理异常,只做清理操作】 // SEH 的使用范围是线程...
SEH分析笔记(x86篇)
10-21
综上所述,SEH分析不仅涉及对x86汇编语言的掌握,还包括对Windows系统内部工作原理的理解。通过对SEH的深入研究,我们可以提升程序的健壮性和安全性,同时也能为故障排查和恶意代码分析提供有力工具。希望本文的分享...
windows核心编程--SEH(结构异常处理)
Mobidogs Blog
01-17 1814
SEH 的工作原理。         Windows 程序设计中最重要的理念就是消息传递,事件驱动。当GUI应用程序触发一个消息时,系统将把该消息放入消息队列,然后去查找并调用窗体的消息处理函数(CALLBACK),传递的参数当然就是这个消息。我们同样可以把异常也当作是一种消息,应用程序发生异常时就触发了该消息并告知系统。系统接收后同样会找它的“回调函数”,也就是我们的异常处理例程。当然,如果我们
Windows的SEH机理简要介绍
weixin_34408717的博客
03-16 286
1.异常分类 一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。 Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常。但是,在处理各自异常时,会略有区别。 一般来说,异常处理过程可以分为2个阶段,第1...
【逆向工程核心原理SEH
qq_42363151的博客
05-21 1586
reverse
[引用]SEH原理
010101的思绪
01-17 3862
原文引用自:http://hi.baidu.com/slaff/blog/item/c6d96d4c0ba180fad72afcb7.htmlSEH研究 不少菜菜在编写ASM程序时往往会不太稳定。然而一旦熟悉了WINDOWS SEH原理后,再回过头编写相应的软件后发现不再会弹出讨厌的警告框了。此外,SEH还被广泛应用于反跟踪以及加解密中。工欲善其事,必先利其器,学习SEH的重要性不言而喻了
SEH工作原理详解:Windows异常处理机制与回调函数应用
SEH (Structured Exception Handling) 是Windows...理解并掌握SEH的工作原理,可以帮助开发人员编写健壮的代码,防止程序因意外情况而崩溃。同时,自定义异常过滤器允许开发者针对特定场景提供定制化的异常处理策略。
7_3_SEH_heap.rar_SEH
09-24
**SEH(结构化异常处理)与堆溢出利用详解** ...通过"7_3_SEH_heap.rar"中的代码和实验,初学者可以深入理解SEH堆溢出的工作原理,并掌握利用技巧。同时,这也提醒开发者在编写代码时要重视安全性,避免引入此类漏洞。
巧妙利用SEH异常链AntiDebug及Od反AntiDebug1
08-08
总的来说,巧妙利用SEH异常链进行AntiDebug是一种有效的防御策略,同时了解其工作原理对于逆向工程师来说也至关重要。通过理解这些技术,开发者可以更好地保护自己的软件,而逆向工程师则能更深入地理解目标程序的...
Windows 系统编程初探 (四)结构化异常处理之一:SEH的基本原理与进程相关异常处理
xlt123的专栏
04-18 2135
        上面的内容只是一些基础知识,虽然简单,但有必要了解一下。现在,我将正式开始我的第一个专题:结构化异常处理(SEH)。SEH 是 Windows 系统提供的功能,跟开发工具无关。值得一提的是,VC 将 SEH 进行了封装,也就是我们平常用到的 __try{}__except(){} 和 __try{}__finally{},我没有研究过它的实现方法,这里也不进行讨论,而我将要讲述的是
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 5万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
SEH 的机制的实现
xum2008的专栏
11-12 928
 struct EXCEPTION_REGISTRATION { EXCEPTION_REGISTRATION *prev; DWORD handle; };  EXCEPTION_DISPOSITION __cdecl _except_handler ( struct _EXCEPTION_RECORD *_ExceptionRecord, void * _E
[原创]windows-SEH详解
whl0071的专栏
02-25 4574
SEH是window操作系统默认的异常处理机制,逆向分析中,SEH除了基本的异常处理功能外,还大量用于反调试程序(这里SEH时保存在栈中的,漏洞利用的时候会用到) 1.SEH SEH是windows操作系统异常处理机制,在程序源代码中使用__try,__except,__finally关键字来具体实现。 2.OS异常处理的办法 2.1正常运行时候的异常处理方法 进程运行过程中若发生异常,OS会委托进程进行处理。若进程代码中存在具体的异常处理(如SEH异常处理器)...
攻击windows异常处理机制SEH
0pt1mus
05-23 1902
转载自个人博客0pt1mus 0x00 简介 本文主要有两个部分。第一部分介绍windows异常处理机制中的SEH,详细介绍SEH的工作原理。第二部分介绍如何通过栈溢出实现利用SEH来绕过GS。 0x01 SEH(异常处理结构体) SEH的全称是Structure Exception Handler,翻译为异常处理结构体,它是Windows异常处理机制所采用的的重要数据结构。每个SEH结构体包含两个DWORD指针:SEH链表指针和异常处理函数句柄,共八个字节。如下图: 对SEH的初步理解,我们要了解一下几
内存保护机制及绕过方案——通过覆盖SEH异常处理函数绕过/GS机制
weixin_30892763的博客
05-04 1093
通过SEH链绕过GS保护机制 ⑴. 原理分析: i.异常处理结构(SEH)处理流程如下: SEH是基于线程的,每一个线程都有一个独立的SEH处理结果,在线程信息块中的第一个结构指向线程的异常列表,Fs:[0]总是指向当前线程的TIB,其中0偏移的指向线程的异常链表,即ExceptionList是指向异常处理链表(EXCEPTION_REGISTRATION结构)的一...
覆盖SEH的溢出利用检测思路
爱.NET
08-21 366
覆盖SEH的溢出利用检测思路 BY kruglinski 看到安焦上的一篇《基于栈指纹检测缓冲区溢出的一点思路》,这是在ShellCode已经运行时在它的调用堆栈(被Hook的下级调用函数LoadLibrary)里进行检测,有些利用溢出覆盖SEH Handler,然后任程序运行,因为溢出破坏了堆或栈,肯定会出现异常,这时指向ShellCode的Handler被运行,我在想这一类的溢出利用,既...
SEHOP原理浅析
magictong的专栏
03-05 8757
SEHOP原理浅析   前言 SEHOP的全称是Structured Exception Handler Overwrite Protection(结构化异常处理覆盖保护),SEH攻击是指通过栈溢出或者其他漏洞,使用精心构造的数据覆盖结构化异常处理链表上面的某个节点或者多个节点,从而控制EIP(控制程序执行流程)。而SEHOP则是是微软针对这种攻击提出的一种安全防护方案。 微软最开始提供这
SEH链和展开操作
bingghost
01-28 3754
每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH链   当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH链,这些SEH链中指定了多个回调函数,除他们以外,系统中可能还会存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值