windows x64异常分发流程

已于 2023-10-07 15:05:07 修改
阅读量2.9k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 调试器里看世界 文章标签: 单片机 嵌入式硬件
于 2019-06-15 15:31:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43787608/article/details/92090154
本文探讨了Windows x64系统中,异常分发的流程,包括VEH(向量化异常处理)、SEH(结构化异常处理)和VCH(向量化继续处理)的工作原理。在某些情况下,如手写汇编代码中,由于缺乏RUNTIME_FUNCTION结构,异常处理会遇到挑战。VCH在SEH之后调用,能解决VEH存在的问题,尤其是在SEH和TopLevelEH无法捕获异常时。文章通过分析RtlDispatchException函数,详细解释了异常处理的过程,并提供了一个手写汇编的测试案例来说明问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00

对windows比较熟悉的同学应该都知道SEH这个概念,我们可以通过SEH来来捕获异常,之后决定怎么处理。
具体的内容可以查看:https://bbs.pediy.com/thread-173853.htm
在上面的文章中,少讲了VCH。
我们根据异常的分发流程,在没有挂上调试器的情况下,异常会先被路由到veh,之后进入seh。那么就存在一个很严重的问题,seh是针对特定线程的特定函数的异常处理块。他会有很多特异性的处理操作;而veh是针对进程全局的异常处理块。如果先进入veh再进入seh就会无法针对特定代码的特定处理。
而且veh还会捕获OutputDebugString产生的异常,导致OutputDebugString无法输出打印信息。
所以在实际工作中,veh的使用并不多。一般都是通过 seh和TopLevelEH来处理异常。
但是在某些情况下(下面会说到),SEH和TopLevelEH都无法捕获到异常,只能通过VEH来捕获,而我们又不想在大部分情况下的SEH失效。这种情况我们需要使用到VCH。
VCH的注册于VEH类似,调用AddVectoredContinueHandler即可。它也是向量化异常处理的一部分,只是他在SEH之后调用。它可以完美解决VEH存在的问题。

0x01

现在我们说说SEH和TopLevelEH无法捕获异常的情况。
最近同事在测试64位程序时,发现某些异常无法捕获。我定位了下,发现只有处于手写的汇编代码中才有这样的问题。经过试验,增加vch后能正常捕获到异常。
众所周知,windows上32位程序的栈回溯依靠ebp及pdb文件。当调用链不存在FPO时,通过ebp即可以遍历所有的堆栈,否则需要依靠pdb中存储的FPO信息来完成完整的堆栈回溯。
而x64环境中,rbp作为普通的非易失寄存器,已经不具备栈帧寄存器的作用,那么64位的堆栈回溯如何实现呢?
其实我们思考一下就能知道,只能通过rsp来回溯整个堆栈。一个典型的函数调用堆栈的数据分布(从高到底)为:调用参数,返回地址,局部变量地址。如果我们能知道局部变

最低0.47元/天 解锁文章

200万优质内容无限畅学
Windows x64为动态代码添加unwind信息
weixin_43787608的博客
11-14 1104
Windows x64为动态代码添加unwind信息0x000x01 0x00 64位程序的堆栈回溯与32位差别很大,调试器和 RtlCaptureStackBackTrace 无法再使用 ebp 链来遍历整个堆栈,而只能使用 prolog信息来回溯堆栈。正常的C/C++函数的prolog信息在编译时候生成并记录在PE64文件的unwind信息中,另外当前函数对应的异常处理函数也添加在unwind信息的尾部。所以对于不存在unwind信息的函数,异常处理流程无法找到其异常处理函数,也很可能无法正常展开堆栈找
Windows异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1774
异常 Windows异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
VEH,VCH,UEF Windows向量化异常处理机制详解
MyCserSoft的专栏
06-22 6338
最近在搞的SR,因为涉及到Windows下的异常处理机制
Windows异常处理流程
01-07
文档描述了windows下的异常处理的流程,调用的函数,已经异常的结构等等
【转帖】Windows异常处理流程 - 看雪软件安全论坛
xu的blog
05-13 2631
导读:z 作者:SoBeIt出处:http://www.xfocus.net/articles/200412/761.html日期:2005-01-06先来说说异常和中断的区别。中断可在任何时候发生,与CPU正在执行什么指令无关,中断主要由I/O设备、处理器时钟或定时器等硬件引发,可以被允许或取消。而异常是由于CPU执行了某些指令引起的,可以包括存储器存取违规、除0或者特定调试指令等,内核
异常处理 (x64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-07 1240
异常处理 (x64) Visual Studio 2013 其他版本 此主题尚未评级 - 评价此主题 本节论述 x64 上的结构化异常处理和 C++ 异常处理行为。 为异常处理和调试器支持展开数据 展开过程 语言特定处理程序 MASM 的展开帮助器 C 中的展开
windows 异常分发流程
weixin_33756418的博客
05-01 531
转载于:https://blog.51cto.com/haidragon/2109472
jdk-8u301-windows-x64.rar
08-12
"jdk-8u301-windows-x64.rar" 是一个针对Windows 64位操作系统的JDK 1.8更新301的压缩包文件。JDK 1.8,也被称为Java 8,是Oracle公司发布的一个重要版本,它引入了许多创新特性,对开发者的工作流程产生了深远影响...
Windows x64中断处理揭秘】:深入理解中断响应流程
[【Windows x64中断处理揭秘】:深入理解中断响应流程](https://www.elprocus.com/wp-content/uploads/Interrupt.jpg) # 摘要 本文系统地探讨了Windows x64平台上的中断处理机制。首先介绍了中断和异常的基本概念...
【补丁管理自动化案例】:包含KB976932-X64.zip的Windows 6.1系统自动化流程
[【补丁管理自动化案例】:包含KB976932-X64.zip的Windows 6.1系统自动化流程](https://howtomanagedevices.com/wp-content/uploads/2021/03/image-108-1024x541.png) # 摘要 随着信息技术的发展,补丁管理自动化...
Windows漏洞利用开发系列教程第三部分:结构化异常处理
01-11
翻译国外的一个二进制漏洞学习教程, 非常适合刚学习漏洞的新人。
Windows内核读书笔记——Windows异常分发处理机制
weixin_30920853的博客
04-10 344
本篇读书笔记主要参考自《深入解析Windows操作系统》和《软件调试》这两本书。 IDT是处理异常,实现操作系统与CPU的交互的关口。 系统在初始化阶段会去填写这个结构。 IDT的每一个表项都成为门描述符,因为IDT的功能就像大门一样,从一个空间跳到另一个空间去执行。 IDT中包含三种门描述符 任务门描述符:用于任务切换 中断门描述符:用于描述中断处理例程 陷阱们描述符:用于描述...
windows 异常处理
Masimaro的专栏
08-16 4502
为了程序的健壮性,windows 中提供了异常处理机制,称为结构化异常异常一般分为硬件异常和软件异常,硬件异常一般是指在执行机器指令时发生的异常,比如试图向一个拥有只读保护的页面写入内容,或者是硬件的除0错误等等,而软件异常则是由程序员,调用RaiseException显示的抛出的异常。对于一场处理windows封装了一整套的API,平台上提供的异常处理机制被叫做结构化异常处理(SEH)。不同于C
Windows内核原理与实现读书笔记之异常分发
maomao171314的专栏
11-24 429
异常分发 在Intel X86 体系结构中,异常也是通过IDI(中断描述符表)分发的。 异常记录EXCEPTION_RECORD 定义: typedef struct _EXCEPTION_RECORD { DWORD ExceptionCode;//异常产生的原因 DWORD ExceptionFlags;//异常标志 struct _EXCEPTION_RECORD *ExceptionRecord;//相关联的异常记录 PVOID ExceptionAddress...
Windows系统程序设计之结构化异常处理
hurtmanzc的专栏
09-29 1464
Windows系统程序设计之结构化异常处理2007-09-19 18:35 标 题: 【原创】Windows系统程序设计之结构化异常处理作 者: 北极星2003时 间: 2006-09-20,20:21链 接: http://bbs.pediy.com/showthread.p
初探windows异常处理
hongduilanjun的博客
05-09 1337
windows系统里,为了保证系统内核的强壮和稳定,为了保证用户程序的强壮和稳定,提供了异常处理机制,来帮助程序员和系统使用人员处理异常。如果想要更加深入的掌握操作系统,异常处理的知识是必不可少的,不仅如此,软件调试也与异常处理息息相关。 异常执行流程 CPU检测到异常 -> 查中断表执行处理函数 -> CommonDispatchException -> KiDispatchException -> KiUserExceptionDispatcher -> Rtl
windows核心编程---异常处理程序与软件异常
x13262608581的博客
12-20 899
CPU抛出的异常是硬件异常,操作系统和应用程序抛出的异常是软件异常。硬件或软件异常被抛出时,可用:__try { } __except(exception filter// 异常过滤程序) { // 异常处理程序 }一个__try后,只需跟一个__except或__finally(终止处理程序)。-异常过滤程序,异常处理程序 异常过滤程序,异常处理程序 主要有系统实现。只在__try块中发生异常
Win异常处理机制研究
chouhunpo4240的博客
08-07 207
异常和中断的优先级 如果在一条指令边界有多个异常或中断等待处理时,处理器会按规定的次序对它们进行处理。表4-9给出了异常和中断源类的优先级。处理器会首先处理最高优先级类中的异常或中断。低优先级的异常会被丢弃,而低优先级的中断则会保持等待。当中断处理程序返回到产生异常和/或中断的程序或任务时,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值