SEH原理剖析

本文深入探讨了Windows操作系统的结构化异常处理(SEH)机制,包括TEB数据结构、异常链表的工作原理,以及如何手动注册和处理异常。示例代码展示了如何创建SEH节点、抛出异常以及从异常链中移除SEH节点的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用户层数据结构 TEB
TEB 第一个字段是NtTib,NtTib的第一个字段ExceptionList是一个链表的头结点的首
地址.
当产生异常,系统会通过FS:[0]找到这个链表,依次调用处理异常.
typedef struct _EXCEPTION_REGISTRATION_RECORD{
struct _EXCEPTION_REGISTRATION_RECORD* next; //下一个seh
PEXCEPTION_ROUTINE Handler; //异常处理函数
}EXCEPTION_REGISTRATION_RECORD
SEH函数原型
LONG NTAPI sehExcept(
_Inout_struct_EXCEPTION_RECORD* ExceptionRecord; //异常信息
_In_PVOID EstablisherFrame;
_Inout_struct_CONTEXT* ContextRecord; //寄存器状态信息
_In_PVOID DispatcherContext);
//手工注册SEH
//代码实现
LONG NTAPI sehExcept(
_Inout_struct_EXCEPTION_RECORD* ExceptionRecord; //异常信息
_In_PVOID EstablisherFrame;
_Inout_struct_CONTEXT* ContextRecord; //寄存器状态信息
_In_PVOID DispatcherContext)
{
printf(“123456”);
return 0;
}
void fun()
{
EXCEPTION_REGISTRATION_RECORD sehNode; //新SEH
//将异常过滤函数保存到节点中
sehNode.Handler = (PEXCEPTION_ROUTINE)seExcept;
sehNode.Next = 0;
//获取旧的SEH头结点
_asm mov eax,DWORD PTR FS:[0];
//将旧的SEH头结点的地址保存待Next中
_asm mov DWORD PTR DS:[sehNode.Next],eax;
//将新结点的首地址保存大FS:[0]
_asm lea eax,sehNode;
_asm mov FS:[0],eax;
//抛出异常
(int)0 = 0;
//从异常链中删除本次的SEH结点
_asm mov eax,DOWRD PTR DS:[sehNode.Next];
_asm mov fs:[0],eax;
}
int main()
{
__try{
fun()
}
__except(1)
{
}
}

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值