SEH溢出

_try
{
    strcpy(buf,input);

    zero=4/zero;
}
_except(MyExceptionhandler){}

SEH结构存放在系统栈中，当线程初始化时，会自动向栈中安装一个SEH，作为线程默认的异常处理。如果程序代码使用了tryexcept，或者assert宏等异常处理机制，编译器将最终通过当前函数栈帧中安装一个seh来实现异常处理，栈中一般有多个seh，多个seh通过链表指针在栈内由栈顶向下传成链表，最顶端的seh通过teb的0自己偏移处的指针标识，当异常发生操作系统会中断程序，并先从teb的0自己读取距离栈顶最近的seh使用异常处理函数句柄所指向的代码来处理异常，当离出事最近的异常处理函数运行失败时，将顺着seh链依次尝试其他，如果程序安装所有异常处理都不能处理，采用默认异常处理函数，通常弹错误对话框，然后其强制关闭程序。

所以可以栈溢出那样覆盖返回地址的形式去覆盖seh处理函数的地址。