一段结构化异常处理代码的追踪历程-优快云博客

本文链接：https://blog.youkuaiyun.com/yuzl32/article/details/5362662

本文介绍了在调试《Win32 结构化异常处理(SEH)揭秘》示例代码时遇到的问题，由于VS2005内部C/C++编译器使用了_except_handler4而不是_except_handler3，并且ScopeTable经过加密，导致程序无法正确显示异常帧信息。通过调试追踪，了解到必须解密ScopeTable才能获取正确的Scopetable地址。文章提供了修改后的代码示例，演示如何解密并正确输出异常处理信息。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在学习《Win32 结构化异常处理(SEH)揭秘》的过程中，里面有一段示例代码(ShowSEHFrames.cpp)在试验中没有得到预期的结果，追踪过程中发现，VS2005内置的C/C++编译器的异常处理函数是_except_handler4而非_except_handler3，而且ScopeTable也被简单加密处理过，就是这样才导致示例程序pScopeTableEntry的所有指向均出错(如:pScopeTableEntry->lpfnHandler)。本文通过调试跟踪，希望能够理解一点Win32结构化异常处理的真实过程。

1)用于调试的源代码(在《Win32 结构化异常处理(SEH)揭秘》中)

//ShowSEHFrames.CPP //========================================================= // ShowSEHFrames - Matt Pietrek 1997 // Microsoft Systems Journal, February 1997 // FILE: ShowSEHFrames.CPP // 使用命令行CL ShowSehFrames.CPP进行编译 //========================================================= #define WIN32_LEAN_AND_MEAN #include <windows.h> #include <stdio.h> #pragma hdrstop //------------------------------------------------------------------- // 本程序仅适用于Visual C++，它使用的数据结构是特定于Visual C++的 //------------------------------------------------------------------- #ifndef _MSC_VER #error Visual C++ Required (Visual C++ specific information is displayed) #endif //------------------------------------------------------------------- // 结构定义 //------------------------------------------------------------------- // 操作系统定义的基本异常帧 struct EXCEPTION_REGISTRATION { EXCEPTION_REGISTRATION* prev; FARPROC handler; }; // Visual C++扩展异常帧指向的数据结构 struct scopetable_entry { DWORD previousTryLevel; FARPROC lpfnFilter; FARPROC lpfnHandler; }; // Visual C++使用的扩展异常帧 struct VC_EXCEPTION_REGISTRATION : EXCEPTION_REGISTRATION { scopetable_entry * scopetable; int trylevel; int _ebp; }; //---------------------------------------------------------------- // 原型声明 //---------------------------------------------------------------- // __except_handler3是Visual C++运行时库函数，我们想打印出它的地址 // 但是它的原型并没有出现在任何头文件中，所以我们需要自己声明它。 extern "C" int _except_handler3(PEXCEPTION_RECORD, EXCEPTION_REGISTRATION *, PCONTEXT, PEXCEPTION_RECORD); //------------------------------------------------------------- // 代码 //------------------------------------------------------------- // // 显示一个异常帧及其相应的scopetable的信息 // void ShowSEHFrame( VC_EXCEPTION_REGISTRATION * pVCExcRec ) { printf( "Frame: %08X Handler: %08X Prev: %08X Scopetable: %08X/n", pVCExcRec, pVCExcRec->handler, pVCExcRec->prev, pVCExcRec->scopetable ); scopetable_entry * pScopeTableEntry = pVCExcRec->scopetable; for ( unsigned i = 0; i <= pVCExcRec->trylevel; i++ ) { printf( " scopetable[%u] PrevTryLevel: %08X " "filter: %08X __except: %08X/n", i, pScopeTableEntry->previousTryLevel, pScopeTableEntry->lpfnFilter, pScopeTableEntry->lpfnHandler ); pScopeTableEntry++; } printf( "/n" ); } // // 遍历异常帧的链表，按顺序显示它们的信息 // void WalkSEHFrames( void ) { VC_EXCEPTION_REGISTRATION * pVCExcRec; // 打印出__except_handler3函数的位置 printf( "_except_handler3 is at address: %08X/n", _except_handler3 ); printf( "/n" ); // 从FS:[0]处获取指向链表头的指针 __asm mov eax, FS:[0] __asm mov [pVCExcRec], EAX // 遍历异常帧的链表。0xFFFFFFFF标志着链表的结尾 while ( 0xFFFFFFFF != (unsigned)pVCExcRec ) { ShowSEHFrame( pVCExcRec ); pVCExcRec = (VC_EXCEPTION_REGISTRATION *)(pVCExcRec->prev); } } void Function1( void ) { // 嵌套3层__try块以便强制为scopetable数组产生3个元素 __try { __try { __try { WalkSEHFrames(); // 现在显示所有的异常帧的信息 } __except( EXCEPTION_CONTINUE_SEARCH ) {} } __except( EXCEPTION_CONTINUE_SEARCH ) {} } __except( EXCEPTION_CONTINUE_SEARCH ) {} } int main() { int i; // 使用两个__try块（并不嵌套），这导致为scopetable数组生成两个元素 __try { i = 0x1234; } __except( EXCEPTION_CONTINUE_SEARCH ) { i = 0x4321; } __try { Function1(); // 调用一个设置更多异常帧的函数 } __except( EXCEPTION_EXECUTE_HANDLER ) { // 应该永远不会执行到这里，因为我们并没有打算产生任何异常 printf( "Caught Exception in main/n" ); } return 0; }

2)对Function1下断点，运行、中断。转到反汇编。得到Function1的汇编代码

void Function1( void ) { 00411580 push ebp 00411581 mov ebp,esp 00411583 push 0FFFFFFFEh ;[ebp-04h]:TryLevel 00411585 push offset ___rtc_tzz+104h (416A88h) ;[ebp-08h]:ScopeTable=0x416A88 0041158A push offset @ILT+125(__except_handler4) (411082h) ;[ebp-0ch]:handler 0041158F mov eax,dword ptr fs:[00000000h] 00411595 push eax ;[ebp-10h]:prev 00411596 add esp,0FFFFFF38h ;[ebp-14h]:预留 ;[ebp-18h]:用于保存当前的ESP ;[ebp-1Ch]至[ebp-0D8h]填充0xCCCCCCCC 0041159C push ebx 0041159D push esi 0041159E push edi 0041159F lea edi,[ebp-0D8h] 004115A5 mov ecx,30h 004115AA mov eax,0CCCCCCCCh 004115AF rep stos dword ptr es:[edi] ;[ebp-1Ch]至[ebp-0D8h]填充0xCCCCCCCC 004115B1 mov eax,dword ptr [___security_cookie (417000h)] ;提取安全码:[417000h]=0x9D33B829 004115B6 xor dword ptr [ebp-8],eax ;加密ScopeTable表(0x9d72d2a1=0x416A88^0x9D33B829) 004115B9 xor eax,ebp ; 004115BB push eax ;加密安全码,保存! 004115BC lea eax,[ebp-10h] 004115BF mov dword ptr fs:[00000000h],eax ;安装异常处理结构 004115C5 mov dword ptr [ebp-18h],esp ;保存当前的esp,便于恢复指令流程 // 嵌套3层__try块以便强制为scopetable数组产生3个元素 __try 004115C8 mov dword ptr [ebp-4],0 ;当前TryLevel为第0层 { __try 004115CF mov dword ptr [ebp-4],1 ;当前TryLevel为第1层 { __try 004115D6 mov dword ptr [ebp-4],2 ;当前TryLevel为第2层 { WalkSEHFrames(); // 现在显示所有的异常帧的信息 004115DD call WalkSEHFrames (411096h) ;跟进! } __except( EXCEPTION_CONTINUE_SEARCH ) 004115E2 mov dword ptr [ebp-4],1 ;恢复TryLevel为第1层 004115E9 jmp $LN16+0Ah (4115F8h) $LN15: 004115EB xor eax,eax $LN17: 004115ED ret $LN16: 004115EE mov esp,dword ptr [ebp-18h] ;恢复ESP {} 004115F1 mov dword ptr [ebp-4],1 } __except( EXCEPTION_CONTINUE_SEARCH ) 004115F8 mov dword ptr [ebp-4],0 ;恢复TryLevel为第0层 004115FF jmp $LN12+0Ah (41160Eh) $LN11: 00411601 xor eax,eax $LN13: 00411603 ret $LN12: 00411604 mov esp,dword ptr [ebp-18h] ;恢复ESP {} 00411607 mov dword ptr [ebp-4],0 } __except( EXCEPTION_CONTINUE_SEARCH ) 0041160E mov dword ptr [ebp-4],0FFFFFFFEh ;恢复TryLevel为0FFFFFFFEh 00411615 jmp $LN8+0Ah (411624h) $LN7: 00411617 xor eax,eax $LN9: 00411619 ret $LN8: 0041161A mov esp,dword ptr [ebp-18h] {} 0041161D mov dword ptr [ebp-4],0FFFFFFFEh } 00411624 mov ecx,dword ptr [ebp-10h] 00411627 mov dword ptr fs:[0],ecx ;恢复系统异常处理结构 0041162E pop ecx 0041162F pop edi 00411630 pop esi 00411631 pop ebx 00411632 add esp,0D8h 00411638 cmp ebp,esp 0041163A call @ILT+315(__RTC_CheckEsp) (411140h) 0041163F mov esp,ebp 00411641 pop ebp 00411642 ret

这里要注意的是在0x004115B6处，ScopeTable被加密处理了。因此ShowSEHFrame函数在采用类似下面的代码时没办法输出scopetable数组的所有信息。

mov scopetable_entry,dword ptr [ebp-8] scopetable_entry[trylevel]->lpfnFilter

F11跟进0x004115DD，我们来到WalkSEHFrames！

void WalkSEHFrames( void ) { 004114D0 push ebp 004114D1 mov ebp,esp 004114D3 sub esp,0CCh 004114D9 push ebx 004114DA push esi 004114DB push edi 004114DC lea edi,[ebp-0CCh] 004114E2 mov ecx,33h 004114E7 mov eax,0CCCCCCCCh 004114EC rep stos dword ptr es:[edi] VC_EXCEPTION_REGISTRATION * pVCExcRec; // 打印出__except_handler3函数的位置 printf( "_except_handler3 is at address: %08X/n", _except_handler3 ); 004114EE mov esi,esp 004114F0 push offset @ILT+120(__except_handler3) (41107Dh) 004114F5 push offset string "_except_handler3 is at address: "... (4156D0h) 004114FA call dword ptr [__imp__printf (4182C4h)] 00411500 add esp,8 00411503 cmp esi,esp 00411505 call @ILT+315(__RTC_CheckEsp) (411140h) ;检测ESP值是否被非法更改! printf( "/n" ); 0041150A mov esi,esp 0041150C push offset string "/n" (41563Ch) 00411511 call dword ptr [__imp__printf (4182C4h)] 00411517 add esp,4 0041151A cmp esi,esp 0041151C call @ILT+315(__RTC_CheckEsp) (411140h) // 从FS:[0]处获取指向链表头的指针 __asm mov eax, FS:[0] 00411521 mov eax,dword ptr fs:[00000000h] __asm mov [pVCExcRec], EAX 00411527 mov dword ptr [pVCExcRec],eax // 遍历异常帧的链表。0xFFFFFFFF标志着链表的结尾 while ( 0xFFFFFFFF != (unsigned)pVCExcRec ) 0041152A cmp dword ptr [pVCExcRec],0FFFFFFFFh 0041152E je WalkSEHFrames+76h (411546h) { ShowSEHFrame( pVCExcRec ); 00411530 mov eax,dword ptr [pVCExcRec] 00411533 push eax 00411534 call ShowSEHFrame (411113h) 00411539 add esp,4 pVCExcRec = (VC_EXCEPTION_REGISTRATION *)(pVCExcRec->prev); 0041153C mov eax,dword ptr [pVCExcRec] 0041153F mov ecx,dword ptr [eax] 00411541 mov dword ptr [pVCExcRec],ecx } 00411544 jmp WalkSEHFrames+5Ah (41152Ah) } 00411546 pop edi 00411547 pop esi 00411548 pop ebx 00411549 add esp,0CCh 0041154F cmp ebp,esp 00411551 call @ILT+315(__RTC_CheckEsp) (411140h) 00411556 mov esp,ebp 00411558 pop ebp 00411559 ret

WalkSEHFrames代码较好理解，就不做分析了。我们继续F11跟进0x00411534，来到ShowSEHFrame。

void ShowSEHFrame( VC_EXCEPTION_REGISTRATION * pVCExcRec ) { 004113C0 push ebp 004113C1 mov ebp,esp 004113C3 sub esp,0D8h 004113C9 push ebx 004113CA push esi 004113CB push edi 004113CC lea edi,[ebp-0D8h] 004113D2 mov ecx,36h 004113D7 mov eax,0CCCCCCCCh 004113DC rep stos dword ptr es:[edi] printf( "Frame: %08X Handler: %08X Prev: %08X Scopetable: %08X/n", pVCExcRec, pVCExcRec->handler, pVCExcRec->prev, pVCExcRec->scopetable ); 004113DE mov esi,esp 004113E0 mov eax,dword ptr [pVCExcRec] 004113E3 mov ecx,dword ptr [eax+8] ;得到pVCExcRec->scopetable 004113E6 push ecx 004113E7 mov edx,dword ptr [pVCExcRec] 004113EA mov eax,dword ptr [edx] ;得到pVCExcRec->prev 004113EC push eax 004113ED mov ecx,dword ptr [pVCExcRec] 004113F0 mov edx,dword ptr [ecx+4] ;得到pVCExcRec->handler 004113F3 push edx 004113F4 mov eax,dword ptr [pVCExcRec] ;得到pVCExcRec 004113F7 push eax 004113F8 push offset string "Frame: %08X Handler: %08X Prev: "... (41568Ch) 004113FD call dword ptr [__imp__printf (4182C4h)] 00411403 add esp,14h 00411406 cmp esi,esp 00411408 call @ILT+315(__RTC_CheckEsp) (411140h) scopetable_entry * pScopeTableEntry = pVCExcRec->scopetable; 0041140D mov eax,dword ptr [pVCExcRec] 00411410 mov ecx,dword ptr [eax+8] ;得到被加密过的pVCExcRec->scopetable 00411413 mov dword ptr [pScopeTableEntry],ecx for ( unsigned i = 0; i <= pVCExcRec->trylevel; i++ ) 00411416 mov dword ptr [i],0 0041141D jmp ShowSEHFrame+68h (411428h) 0041141F mov eax,dword ptr [i] 00411422 add eax,1 00411425 mov dword ptr [i],eax 00411428 mov eax,dword ptr [pVCExcRec] 0041142B mov ecx,dword ptr [i] 0041142E cmp ecx,dword ptr [eax+0Ch] 00411431 ja ShowSEHFrame+0ADh (41146Dh) { printf( " scopetable[%u] PrevTryLevel: %08X " "filter: %08X __except: %08X/n", i, pScopeTableEntry->previousTryLevel, pScopeTableEntry->lpfnFilter, pScopeTableEntry->lpfnHandler ); 00411433 mov esi,esp 00411435 mov eax,dword ptr [pScopeTableEntry] 00411438 mov ecx,dword ptr [eax+8] ;指向pVCExcRec->scopetable[i]->lpfnHandler ;因为scopetable还未解密,所以这条语句将产生异常! ;异常将被fs:[0]捕获，也就是pVCExcRec->handler. ;查看了一下，pVCExcRec->handler指向_except_handler4 0041143B push ecx 0041143C mov edx,dword ptr [pScopeTableEntry] 0041143F mov eax,dword ptr [edx+4] 00411442 push eax 00411443 mov ecx,dword ptr [pScopeTableEntry] 00411446 mov edx,dword ptr [ecx] 00411448 push edx 00411449 mov eax,dword ptr [i] 0041144C push eax 0041144D push offset string " scopetable[%u] PrevTryLevel: %0"... (415640h) 00411452 call dword ptr [__imp__printf (4182C4h)] 00411458 add esp,14h 0041145B cmp esi,esp 0041145D call @ILT+315(__RTC_CheckEsp) (411140h) pScopeTableEntry++; 00411462 mov eax,dword ptr [pScopeTableEntry] 00411465 add eax,0Ch 00411468 mov dword ptr [pScopeTableEntry],eax } 0041146B jmp ShowSEHFrame+5Fh (41141Fh) printf( "/n" ); 0041146D mov esi,esp 0041146F push offset string "/n" (41563Ch) 00411474 call dword ptr [__imp__printf (4182C4h)] 0041147A add esp,4 0041147D cmp esi,esp 0041147F call @ILT+315(__RTC_CheckEsp) (411140h) } 00411484 pop edi 00411485 pop esi 00411486 pop ebx 00411487 add esp,0D8h 0041148D cmp ebp,esp 0041148F call @ILT+315(__RTC_CheckEsp) (411140h) 00411494 mov esp,ebp 00411496 pop ebp 00411497 ret

代码运行到0x00411435，暂停一下。分析在0x00411438处，由于从还没有解密的scopetable中去获取__try/__except过滤函数将导致非法内存访问，最终它被安装在系统上的异常处理程序所处理。其实也就是pVCExcRec->handler，观察一下pVCExcRec->handler的值，发现它指向_except_handler4。对_except_handler4下断，程序继续单步运行，来到_except_handler4。

_except_handler4: 00411A20 push ebp ;来到这里! 00411A21 mov ebp,esp 00411A23 mov eax,dword ptr [DispatcherContext] 00411A26 push eax 00411A27 mov ecx,dword ptr [ContextRecord] 00411A2A push ecx 00411A2B mov edx,dword ptr [EstablisherFrame] 00411A2E push edx 00411A2F mov eax,dword ptr [ExceptionRecord] 00411A32 push eax 00411A33 push offset @ILT+25(@__security_check_cookie@4) (41101Eh) 00411A38 push offset ___security_cookie (417000h) 00411A3D call @ILT+410(__except_handler4_common) (41119Fh) 00411A42 add esp,18h 00411A45 pop ebp

观察局部变量

F11单步进入__except_handler4_common。

_except_handler4_common: 10219DD0 push ebp 10219DD1 mov ebp,esp 10219DD3 sub esp,30h 10219DD6 mov byte ptr [Revalidate],0 10219DDA mov dword ptr [Disposition],1 10219DE1 mov eax,dword ptr [EstablisherFrame] 10219DE4 sub eax,8 ;也就是[ebp-14],[ebp-18] 10219DE7 mov dword ptr [RegistrationNode],eax ;RegistrationNode从[ebp-18]开始 10219DEA mov ecx,dword ptr [RegistrationNode] 10219DED add ecx,18h ;eax = [ebp-00] 10219DF0 mov dword ptr [FramePointer],ecx ; 10219DF3 mov edx,dword ptr [RegistrationNode] 10219DF6 mov eax,dword ptr [CookiePointer] ;获取加密码 10219DF9 mov ecx,dword ptr [edx+10h] ;[edx+10h] = [ebp-8],获取scopetable 10219DFC xor ecx,dword ptr [eax] 10219DFE mov dword ptr [ScopeTable],ecx ;解密scopetable 10219E01 mov edx,dword ptr [FramePointer] 10219E04 push edx 10219E05 mov eax,dword ptr [ScopeTable] 10219E08 push eax 10219E09 mov ecx,dword ptr [CookieCheckFunction] 10219E0C push ecx 10219E0D call ValidateLocalCookies (10219F90h) ;验证,跳过! 10219E12 add esp,0Ch 10219E15 mov edx,dword ptr [ExceptionRecord] 10219E18 mov eax,dword ptr [edx+4] 10219E1B and eax,66h 10219E1E jne _except_handler4_common+174h (10219F44h) 10219E24 mov ecx,dword ptr [ExceptionRecord] 10219E27 mov dword ptr [ExceptionPointers],ecx 10219E2A mov edx,dword ptr [ContextRecord] 10219E2D mov dword ptr [ebp-4],edx 10219E30 mov eax,dword ptr [RegistrationNode] 10219E33 lea ecx,[ExceptionPointers] 10219E36 mov dword ptr [eax+4],ecx 10219E39 mov edx,dword ptr [RegistrationNode] 10219E3C mov eax,dword ptr [edx+14h] 10219E3F mov dword ptr [TryLevel],eax 10219E42 jmp _except_handler4_common+7Ah (10219E4Ah) 10219E44 mov ecx,dword ptr [EnclosingLevel] 10219E47 mov dword ptr [TryLevel],ecx 10219E4A cmp dword ptr [TryLevel],0FFFFFFFEh 10219E4E je _except_handler4_common+172h (10219F42h) 10219E54 mov edx,dword ptr [TryLevel] 10219E57 imul edx,edx,0Ch 10219E5A mov eax,dword ptr [ScopeTable] 10219E5D lea ecx,[eax+edx+10h] ;2.注意这里! 10219E61 mov dword ptr [ScopeTableRecord],ecx 10219E64 mov edx,dword ptr [ScopeTableRecord] 10219E67 mov eax,dword ptr [edx+4] 10219E6A mov dword ptr [FilterFunc],eax 10219E6D mov ecx,dword ptr [ScopeTableRecord] 10219E70 mov edx,dword ptr [ecx] 10219E72 mov dword ptr [EnclosingLevel],edx 10219E75 cmp dword ptr [FilterFunc],0 10219E79 je _except_handler4_common+16Dh (10219F3Dh) 10219E7F mov edx,dword ptr [FramePointer] 10219E82 mov ecx,dword ptr [FilterFunc] 10219E85 call @_EH4_CallFilterFunc@8 (1021DA32h) 10219E8A mov dword ptr [FilterResult],eax 10219E8D mov byte ptr [Revalidate],1 10219E91 cmp dword ptr [FilterResult],0 10219E95 jge _except_handler4_common+0D8h (10219EA8h) 10219E97 mov dword ptr [Disposition],0 10219E9E jmp _except_handler4_common+172h (10219F42h) 10219EA3 jmp _except_handler4_common+16Dh (10219F3Dh) 10219EA8 cmp dword ptr [FilterResult],0 10219EAC jle _except_handler4_common+16Dh (10219F3Dh) 10219EB2 mov eax,dword ptr [ExceptionRecord] 10219EB5 cmp dword ptr [eax],0E06D7363h 10219EBB jne _except_handler4_common+116h (10219EE6h) 10219EBD cmp dword ptr [__pDestructExceptionObject (102D8EECh)],0 10219EC4 je _except_handler4_common+116h (10219EE6h) 10219EC6 push offset __pDestructExceptionObject (102D8EECh) 10219ECB call _IsNonwritableInCurrentImage (1021DB80h) 10219ED0 add esp,4 10219ED3 test eax,eax 10219ED5 je _except_handler4_common+116h (10219EE6h) 10219ED7 push 1 10219ED9 mov ecx,dword ptr [ExceptionRecord] 10219EDC push ecx 10219EDD call dword ptr [__pDestructExceptionObject (102D8EECh)] 10219EE3 add esp,8 10219EE6 mov ecx,dword ptr [RegistrationNode] 10219EE9 add ecx,8 10219EEC call @_EH4_GlobalUnwind@4 (1021DA62h) 10219EF1 mov edx,dword ptr [RegistrationNode] 10219EF4 mov eax,dword ptr [edx+14h] 10219EF7 cmp eax,dword ptr [TryLevel] 10219EFA je _except_handler4_common+142h (10219F12h) 10219EFC mov ecx,dword ptr [CookiePointer] 10219EFF push ecx 10219F00 mov edx,dword ptr [FramePointer] 10219F03 push edx 10219F04 mov ecx,dword ptr [RegistrationNode] 10219F07 add ecx,8 10219F0A mov edx,dword ptr [TryLevel] 10219F0D call @_EH4_LocalUnwind@16 (1021DA7Ch) 10219F12 mov eax,dword ptr [RegistrationNode] 10219F15 mov ecx,dword ptr [EnclosingLevel] 10219F18 mov dword ptr [eax+14h],ecx 10219F1B mov edx,dword ptr [FramePointer] 10219F1E push edx 10219F1F mov eax,dword ptr [ScopeTable] 10219F22 push eax 10219F23 mov ecx,dword ptr [CookieCheckFunction] 10219F26 push ecx 10219F27 call ValidateLocalCookies (10219F90h) 10219F2C add esp,0Ch 10219F2F mov edx,dword ptr [FramePointer] 10219F32 mov eax,dword ptr [ScopeTableRecord] 10219F35 mov ecx,dword ptr [eax+8] 10219F38 call @_EH4_TransferToHandler@8 (1021DA49h) 10219F3D jmp _except_handler4_common+74h (10219E44h) 10219F42 jmp _except_handler4_common+199h (10219F69h) 10219F44 mov ecx,dword ptr [RegistrationNode] 10219F47 cmp dword ptr [ecx+14h],0FFFFFFFEh 10219F4B je _except_handler4_common+199h (10219F69h) 10219F4D mov edx,dword ptr [CookiePointer] 10219F50 push edx 10219F51 mov eax,dword ptr [FramePointer] 10219F54 push eax 10219F55 mov ecx,dword ptr [RegistrationNode] 10219F58 add ecx,8 10219F5B mov edx,0FFFFFFFEh 10219F60 call @_EH4_LocalUnwind@16 (1021DA7Ch) 10219F65 mov byte ptr [Revalidate],1 10219F69 movzx ecx,byte ptr [Revalidate] 10219F6D test ecx,ecx 10219F6F je _except_handler4_common+1B5h (10219F85h) 10219F71 mov edx,dword ptr [FramePointer] 10219F74 push edx 10219F75 mov eax,dword ptr [ScopeTable] 10219F78 push eax 10219F79 mov ecx,dword ptr [CookieCheckFunction] 10219F7C push ecx 10219F7D call ValidateLocalCookies (10219F90h) 10219F82 add esp,0Ch 10219F85 mov eax,dword ptr [Disposition] 10219F88 mov esp,ebp 10219F8A pop ebp 10219F8B ret

... ...

根据以上分析，要输出正确结果就必须解密ScopeTable(安全码由系统生成，VS2005调试版本下固定放在[00417000h]，Release版本下固定存放在[0040C000h]处)，解密后的ScopeTable+0x10才是真正的ScopeTable位置。

更改后，代码如下，运行正确。

//ShowSEHFrames.CPP //========================================================= // ShowSEHFrames - Matt Pietrek 1997 // Microsoft Systems Journal, February 1997 // FILE: ShowSEHFrames.CPP // 使用命令行CL ShowSehFrames.CPP进行编译 //========================================================= #define WIN32_LEAN_AND_MEAN #include <windows.h> #include <stdio.h> #pragma hdrstop //------------------------------------------------------------------- // 本程序仅适用于Visual C++，它使用的数据结构是特定于Visual C++的 //------------------------------------------------------------------- #ifndef _MSC_VER #error Visual C++ Required (Visual C++ specific information is displayed) #endif //------------------------------------------------------------------- // 结构定义 //------------------------------------------------------------------- // 操作系统定义的基本异常帧 struct EXCEPTION_REGISTRATION { EXCEPTION_REGISTRATION* prev; FARPROC handler; }; // Visual C++扩展异常帧指向的数据结构 struct scopetable_entry { DWORD previousTryLevel; FARPROC lpfnFilter; FARPROC lpfnHandler; }; // Visual C++使用的扩展异常帧 struct VC_EXCEPTION_REGISTRATION : EXCEPTION_REGISTRATION { scopetable_entry * scopetable; int trylevel; int _ebp; }; //---------------------------------------------------------------- // 原型声明 //---------------------------------------------------------------- // __except_handler4是Visual C++运行时库函数，我们想打印出它的地址 // 但是它的原型并没有出现在任何头文件中，所以我们需要自己声明它。 extern "C" int _except_handler4(PEXCEPTION_RECORD, EXCEPTION_REGISTRATION *, PCONTEXT, PEXCEPTION_RECORD); //------------------------------------------------------------- // 代码 //------------------------------------------------------------- // // 显示一个异常帧及其相应的scopetable的信息 // void ShowSEHFrame( VC_EXCEPTION_REGISTRATION * pVCExcRec ) { unsigned security_cookie = 0; scopetable_entry * pScopeTableEntry; //提取安全码 //可以查看编译器编译出来的结构化异常处理块中安全码真正存放的位置! //VS2005用Release得到的是0040C000h,Debug得到的是00417000h __asm { push eax mov eax,0040C000h mov eax,dword ptr [eax] mov security_cookie,eax pop eax } printf("security_cookie=0x%08x/n",security_cookie); printf( "Frame: %08X Handler: %08X Prev: %08X Scopetable: %08X/n", pVCExcRec, pVCExcRec->handler, pVCExcRec->prev, pVCExcRec->scopetable ); //最后一个帧的异常处理程序是_except_handler3，因此不做特殊处理 if((DWORD)pVCExcRec->prev != 0xFFFFFFFF) { pScopeTableEntry = (scopetable_entry *)((unsigned)pVCExcRec->scopetable^security_cookie); pScopeTableEntry = (scopetable_entry *)((unsigned)pScopeTableEntry + 0x10); } for ( unsigned i = 0; i <= pVCExcRec->trylevel; i++ ) { printf( " scopetable[%u] PrevTryLevel: %08X " "filter: %08X __except: %08X/n", i, pScopeTableEntry->previousTryLevel, pScopeTableEntry->lpfnFilter, pScopeTableEntry->lpfnHandler ); pScopeTableEntry++; } printf( "/n" ); } // // 遍历异常帧的链表，按顺序显示它们的信息 // void WalkSEHFrames( void ) { VC_EXCEPTION_REGISTRATION * pVCExcRec; // 打印出__except_handler3函数的位置 printf( "_except_handler4 is at address: %08X/n", _except_handler4 ); printf( "/n" ); // 从FS:[0]处获取指向链表头的指针 __asm mov eax, FS:[0] __asm mov [pVCExcRec], EAX // 遍历异常帧的链表。0xFFFFFFFF标志着链表的结尾 while ( 0xFFFFFFFF != (unsigned)pVCExcRec ) { ShowSEHFrame( pVCExcRec ); pVCExcRec = (VC_EXCEPTION_REGISTRATION *)(pVCExcRec->prev); } } void Function1( void ) { // 嵌套3层__try块以便强制为scopetable数组产生3个元素 __try { __try { __try { WalkSEHFrames(); // 现在显示所有的异常帧的信息 } __except( EXCEPTION_CONTINUE_SEARCH ) {} } __except( EXCEPTION_CONTINUE_SEARCH ) {} } __except( EXCEPTION_CONTINUE_SEARCH ) {} } int main() { int i; // 使用两个__try块（并不嵌套），这导致为scopetable数组生成两个元素 __try { i = 0x1234; } __except( EXCEPTION_CONTINUE_SEARCH ) { i = 0x4321; } __try { Function1(); // 调用一个设置更多异常帧的函数 } __except( EXCEPTION_EXECUTE_HANDLER ) { // 应该永远不会执行到这里，因为我们并没有打算产生任何异常 printf( "Caught Exception in main/n" ); } return 0; }

第三个帧来自 Visual C++ 运行时库。Visual C++ 运行时库源代码中的 CRT0.C 文件清楚地表明了对 main 或 WinMain 的调用也被一个__try/__except 块封装着(跟踪发现其异常处理程序仍然是_except_handler4)。

最后一个帧的异常处理程序的地址是7C839AF0，这与其它三个不同。这个地址在 KERNEL32.DLL，是一个名叫_except_handler3的异常处理程序。:-)

附：更改前的运行状况

F:/>ShowSehFrames _except_handler3 is at address: 00401314 Frame: 0012FF2C Handler: 00401430 Prev: 0012FF60 Scopetable: 82233F51 Caught Exception in main F:/>