3.用户异常的分发

最新推荐文章于 2024-08-20 18:00:22 发布
最新推荐文章于 2024-08-20 18:00:22 发布
阅读量785 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42052102/article/details/83513729

异常如果发生在内核层,处理起来比较简单,因为异常处理函数也在0环,不用切换堆栈,但是如果异常发生在3环,就意味着必须要切换堆栈,回到3环执行处理函数。

切换堆栈的处理方式与用户APC的执行过程几乎是一样的,唯一的区别就是执行用户APC时返回3环后执行的函数是KiUserApcDispatcher,而异常处理时返回3环后执行的函数是KiUserExceptionDispatcher.

所以,理解用户APC的执行过程是理解3环异常处理的关键。

VOID KiDispatchException
(
	ExceptionRecord,
	ExceptionFrame, 
	TrapFrame, 
	PreviousMode,
	FirstChance
)

用户异常跳转
在这里插入图片描述

在这里插入图片描述

这些都是修改Ktrap_Frame回准备回3环操作
在这里插入图片描述

修改Ktrap_Frame.eip
在这里插入图片描述

  1. KeContextFromKframes将Trap_frame备份到context为返回3环做准备
  2. 判断先前模式0是内核调用1是用户层调
  3. 是否是第一次机会
  4. 是否有内核调试器
  5. 发送给3环调试
  6. 如果3环调试器没有处理这个异常,把异常数据填充到用户栈。
  7. 修正EIP为KiUserExceptionDispatcher。这个函数是ntdll的
  8. 调用KiDispatchException 返回用户层

在这里插入图片描述
无论通过那种方式,但线程再次回到3环时,将执行KiUserExceptionDispatcher函数

KiUserExceptionDispatcher()函数会将异常发生给一个基于帧的异常处理器,如果存在异常处理器处理了该异常,则程序继续执行。
如果该异常仍未被处理,调用NtRaiseException函数再次进入内核中处理该异常,这次KiDispatchException函数的FirstChance为FALSE(不是第一次了),第二次还没处理该异常,则终止该进程

在这里插入图片描述

2.内核异常处理流程
My classmates
10-29 1524
用户异常与内核层异常 异常可以发生在用户空间,也可以发生在内核空间。 无论是CPU异常还是模拟异常,是用户异常还是内核异常,都要通过 KiDispatchException函数进行分发,这个函数比较复杂。 VOID KiDispatchException ( ExceptionRecord, ExceptionFrame, TrapFrame, PreviousMode, First...
如何分析帐号异常?看这里!
weixin_34342578的博客
06-15 574
2019独角兽企业重金招聘Python工程师标准>>> ...
异常处理分发机制
datouyu0824的博客
03-22 1214
异常分发原理 详解1 详解2 TEB结构体详解 - 解析SEH int main(void) { 55 push ebp 8B EC mov ebp,esp 6A FE push 0FFFFFFFEh 68 C0 8E 43 00 push 438EC0h 68 A0 1A 43 00 push off
Windows异常学习笔记(二)—— 内核异常处理流程&用户异常分发
lzyddf的博客
01-11 2206
Windows异常学习笔记(一)—— CPU异常记录前言软件模拟异常实验:分析模拟异常第一步:编译并运行以下代码第二步:查看汇编代码第三步:分析 __CxxThrowException第四步:分析 RaiseException 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 软件模拟异常 实验:分析模拟异常 第一步:编译并运行以下代码 ...
Windows内核读书笔记——Windows异常分发处理机制
weixin_30920853的博客
04-10 344
本篇读书笔记主要参考自《深入解析Windows操作系统》和《软件调试》这两本书。 IDT是处理异常,实现操作系统与CPU的交互的关口。 系统在初始化阶段会去填写这个结构。 IDT的每一个表项都成为门描述符,因为IDT的功能就像大门一样,从一个空间跳到另一个空间去执行。 IDT中包含三种门描述符 任务门描述符:用于任务切换 中断门描述符:用于描述中断处理例程 陷阱们描述符:用于描述...
简易分发器设计和开发(重点看代码设计)
热门推荐
张彦峰的博客
04-22 8万+
设计分发平台的终极目标是为内容提供者和运营厂商提供全面的解决方案,帮助他们实现内容的高效管理和精准分发。通过灵活的配置和定制化功能,以及强大的数据分析和监控统计功能,平台能够帮助用户优化内容策略,提升内容传播的效果和用户体验,实现业务的持续增长和发展。
二级域名分发系统PHP源码-附安装教程.zip
05-25
7. **错误处理与日志记录**:为了方便调试和维护,系统应具备良好的错误处理机制,如异常处理和日志记录。PHP提供了内置的错误报告和日志记录功能,也可以通过自定义错误处理器进行扩展。 8. **前端界面**:用户...
阿里云 专有云企业版 V3.7.0 实时数据分发平台DataHub 用户指南 20181204.pdf
05-27
了解并遵循这些知识要点,将有助于用户更好地利用阿里云专有云企业版V3.7.0实时数据分发平台DataHub进行实时数据处理和分析,同时确保遵循相关的法律和规定,保护自身和阿里云的权益。在使用过程中,如遇到问题,...
Windows对异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1774
异常 Windows中异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
【现代操作系统】3. 中断、异常、系统调用
最新发布
山可行,海可平
08-20 1517
操作系统的中断、异常、系统调用
异常分发流程的实现看反用户调试器
xlaomlng的博客
06-21 311
https://www.jianshu.com/p/9071fd7e4388
用户层和内核层异常的处理流程
鬼手的博客
02-16 2186
文章目录内核层异常的处理流程用户异常和内核层异常KiDispatchException函数详解RtlDispatchException函数的执行流程用户异常的处理流程用户异常的处理流程 内核层异常的处理流程 之前已经了解过异常处理机制的执行流程:异常记录 异常分发 异常的处理。这次我们学习一下内核异常分发与处理。 用户异常和内核层异常 异常可以发生在用户空间,也可以发生在内核空间。无论是C...
Windows内核原理与实现读书笔记之异常分发
maomao171314的专栏
11-24 429
异常分发 在Intel X86 体系结构中,异常也是通过IDI(中断描述符表)分发的。 异常记录EXCEPTION_RECORD 定义: typedef struct _EXCEPTION_RECORD { DWORD ExceptionCode;//异常产生的原因 DWORD ExceptionFlags;//异常标志 struct _EXCEPTION_RECORD *ExceptionRecord;//相关联的异常记录 PVOID ExceptionAddress...
检测用户中的异常--UEBA方法
一智哇的博客
11-13 4449
Detecting Anomalies in Users – An UEBA Approach 检测用户中的异常–UEBA方法 期刊/会议:Proceedings of the International Conference on Industrial Engineering and Operations Management, Dubai, UAE, March 10-12, 2020 CCF None 1.背景 UEBA方法是安全领域中一种可行的方法,使用统计分析和机器学习等方法检测用户异常行为
ARMv7用户层发生指令异常的处理流程?是否每个进程都有一个APSR的副本?
Heron——Linux & ARM
05-29 3592
1、用户层发生指令异常的处理流程? 用户层程序正在执行时,遇到未定义的指令(ARM不是别的指令)或者SWI软件中断指令(产生系统调用),就会产生异常,这里以未定义指令异常为例进行说明:          一旦出现未定义指令异常,CPU会自动做如下操作: (1)未定义模式(ARM其中运行模式的一种)下对应的lr(即R14)寄存器保存当前发生异常的指令下一条指令的地址。例如,在用户态有A B C
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1464
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
KiDispatchException
FadeTrack
03-09 2546
VOID KiDispatchException ( IN PEXCEPTION_RECORD ExceptionRecord, IN PKEXCEPTION_FRAME ExceptionFrame, IN PKTRAP_FRAME TrapFrame, IN KPROCESSOR_MODE PreviousMode, IN BOOLEAN FirstCha
中断和异常
u012138730的专栏
05-10 3393
最近在看内存方面的知识,打算写一系列的博客分享记录一下。 本文介绍任务管理器里各个内存项的含义以及用一个例子也解释独占性。 目录 内存项含义 1.工作集Working Set(内存)=内存(专用工作集)+ 内存(共享工作集) 2.提交大小 Comitted Memory 内存的独占性 内存项含义 打开任务管理--详细信息---右键选择列,选择下面这4个。 1....
分析update64.exe异常程序样本
3. 安全问题:程序可能含有恶意代码,例如病毒、木马或者后门程序,从而对系统安全构成威胁。 4. 兼容性问题:该更新程序可能与特定的硬件或软件环境不兼容,导致运行时出错。 描述中的“亲测可用,真实有效”可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值