调试器攻击技术 - Unhandled Exception Filter

最新推荐文章于 2024-05-30 11:46:42 发布
最新推荐文章于 2024-05-30 11:46:42 发布
阅读量1.6k 收藏
点赞数
分类专栏: 调试 windows
本文介绍了一种利用异常处理机制绕过调试的技术,通过设置异常过滤器并触发异常,根据是否处于调试状态选择不同的行为路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

5、 Unhandled Exception Filter

MSDN文档声明当一个异常到达Unhandled Exception Filter(kernel32!UnhandledExceptionFilter)并且程序没有被调试时,Unhandled Exception Filter将会调用在kernel32!SetUnhandledExceptionFilter()API作为参数指定的高层exception Filter。壳利用了这一点,通过设置exception Filter然后抛出异常,如果程序被调试那么这个异常将会被调试器接收,否则,控制被移交到exception Filter运行得以继续。

示例

下面的示例中通过SetUnhandledExceptionFilter()设置了一个高层的exception Filter,然后抛出一个违规访问异常。如果进程被调试,调试器将收到两次异常通知,否则exception Filter将修改CONTEXT.EIP并继续执行。

;set the exception filter

push                .exception_filter

call                  [SetUnhandledExceptionFilter]

mov                 [.original_filter],eax

;throw an exception

xor                  eax,eax

mov                 dword [eax],0

;restore exception filter

push                dword [.original_filter]

call                  [SetUnhandledExceptionFilter]

:::

.exception_filter:

;EAX = ExceptionInfo.ContextRecord

mov              eax,[esp+4]

mov              eax,[eax+4]

;set return EIP upon return

add                dword [eax+0xb8],6

;return EXCEPTION_CONTINUE_EXECUTION

mov              eax,0xffffffff

retn

有些壳并不调用SetUnhandledExceptionFilter()而是直接通过kernel32!_BasepCurrentTopLevelFilter手工设置exception Filter,以防逆向分析人员在那个API上下断。

对策

有意思的是kernel32!UnhandledExceptionFilter()内部实现代码是使用ntdll!NtQueryInformationProcess(ProcessDebugPort)来确定进程是否被调试,从而决定是否调用已注册的exception Filter。因此,处理方法和DebugPort调试器检测技术相同。 
【C++软件调试技术】dump文件类型与dump文件生成方法详解
dvlinker的技术专栏
11-22 2万+
dump文件类型与dump文件生成方法详解。
Windows中的未处理异常
qq_42814021的博客
11-19 3228
上一篇文章Windows对异常的管理详细介绍了Windows中对异常的分发和处理过程。 我们知道,Windows会给每个异常最多两轮被处理的机会: 第一轮:先尝试发给调试器,如果调试器没有处理,则遍历并依次调用异常处理器。如果一个处理器返回EXCEPTION_CONTINUE_EXECUTION,则表示它已经处理了异常,并让系统恢复执行因为异常而中断的代码;如果返回EXCEPTION_CONTINUE_SEARCH,则表示它不能处理该异常,并让系统继续寻找其他的异常处理器。 第二轮:再次发给调试器,如果还
windbg 定位正确UnhandledExceptionFilter 调用时堆栈
qq_43179054的博客
05-30 356
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现UnhandledExceptionFilter这种情况,会弹出下图的系统错误弹窗遇到此错误时,手动获取问题进程的dump文件,您可以按照本文来标识导致异常的 DLL 中的步骤。
脱壳的艺术--5 调试器攻击技术
FISH 的专栏
01-19 1529
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用
dump UnhandledExceptionFilter
x
11-01 257
    #include <DbgHelp.h> #pragma comment(lib, "DbgHelp.lib") LONG WINAPI MyUnhandledExceptionFilter( struct _EXCEPTION_POINTERS *ex) { SYSTEMTIME st; GetLocalTime(&st); TCHAR buf[MAX_P...
SetUnhandledExceptionFilter让程序优雅的崩溃(转)
ahoo110的博客
05-24 950
虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。所以一拍脑袋,想让自己的程序崩溃的体面一点。自己想了大概的思路,觉得可以用一个进程来监控目标程序。的确也可以拿到了目标程序崩溃的信息,知道它什么时候崩溃的,也可以做额外的操作,但是这样是没办法把默认的发送错误的对话框去掉的。然后又有人说是不是采用了
异常处理——异常处理简介之UnhandledExceptionFilter(1)
caicaptain
03-24 2882
异常处理流程在软件开发过程中,总会遇到许许多多的bug。如果在开发过程中,出现bug异常,未处理,就会导致程序崩溃。崩溃了,系统会先自动先去处理,一般是UnhandledExceptionFilter这个函数在调试。//未处理异常示例 *(int *)0 = 1 ; //语句错误,未处理一些处理异常的返回值 EXCEPTION_CONTINUE_SEARCH(0)(作为返回值,表示处理失败,系统继
anti-debug2——扰乱
40KO的博客
01-23 665
利用SEH反调试 在SEH的机制下,当发生异常时,操作系统会接收这个异常然后调用进程中注册的SEH处理,但这样的异常发生在调试中时,异常就会由调试器来接收处理,根据这个特征就可用来反调试。 EXCEPTION_BREAKPOINT是断点异常,若程序处于调试运行状态。则系统会立刻停止运行程序,并将控制权交给调试器。所以当遇到int3指令时,正常运行的程序会调用SEH中的代码处理,而调试中的...
异常 SetUnhandledExceptionFilter
weixin_30532369的博客
01-06 210
LPTOP_LEVEL_EXCEPTION_FILTER WINAPI SetUnhandledExceptionFilter( __in LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter );  设置异常捕获函数.当异常没有处理的时候,系统就会调用SetUnhandledExceptionFilter所设置异常处理...
配合UnhandledExceptionFilterEx()实现崩溃后自动重启
秋月的私语
07-05 662
使用函数UnhandledExceptionFilterEx()捕捉崩溃,在崩溃前重启程序。 函数 int RestartProcess(bool bNormal = false); 中默认参数bNormal用于控制崩溃之后是否自动结束程序,具体可以自测。 #include "MiniDump.h" #include <windows.h> #include <ima...
理解UnhandledExceptionFilter
Viper的专栏
02-24 9481
最初发表在QQ空间,全文参见 理解UnhandledExceptionFilter UnhandledExceptionFilter,在一个windows平台上的C/C++程序中,主线程的SEH框架会有2层,最外层是BaseProcessStart,里面是mainCRTStart
window下使用SetUnhandledExceptionFilter捕获让程序的崩溃
yantuguiguziPGJ的博客
03-05 476
window下使用SetUnhandledExceptionFilter捕获让程序的崩溃
WinDbg调试dmp(查找问题的异常堆栈时出现的 UnhandledExceptionFilter 调用堆栈跟踪中和其他技巧)
小磊的专栏
05-17 6555
1.使用windbg打开dump文件,同时设置symbols。 如果之前下载过windows的symbols就直接设置symbols path: (windows和程序的pdb) 例如:C:\Symbols;E:\work\技术分享\dump分析\1115服务器无响应dump\gsss\gssssvr 如果之前没有下载过windows的s...
WinDbg 查找问题异常堆栈,堆栈跟踪UnhandledExceptionFilter
Tommy(凌飞)的专栏
02-14 4243
1.UnhandledExceptionFilter 函数调用时没有异常处理程序定义来处理引发的异常。 函数通常将异常传递达 Ntdll.dll 文件这将捕捉并试图处理它。 在该进程的内存快照存在某些情况下,您可以看到到一个线程持有锁点的线程调用的 UnhandledExceptionFilter 函数。 在这些情况中您可以按照本文标识导致异常的 DLL 中的步骤。Windbg.exe 打开转储文件1.下载并安装调试程序。 要下载调试程序,请访问下面的 Microsoft 网站: Microsoft 调试工
【Qt】SetUnhandledExceptionFilter设置程序异常筛选器函数
jn10010537的博客
01-02 3819
如果是调试状态,则通知调试器发生了异常,如果不是调试状态,操作系统会查看当前线程是否安装了的异常帧链(FS[0]),如果安装了SEH(try…如果异常链中所有的SEH都没有处理此异常,而且此进程还处于调试状态,则操作系统会再次通知调试器发生异常(二次异常)。调用SetUnhandledExceptionFilter函数后,如果在未调试的进程中发生异常,并且异常会将其设置为未处理的异常筛选器,该筛选器将调用 lpTopLevelExceptionFilter 参数指定的异常筛选器函数。
UnhandledExceptionFilter 未被调用分析一例
wwmfeng的专栏
05-16 3728
<br />有时候会遇到 crash 的时候没有生成 dump file. 因为 unhandledexceptionfilter 没有被调用. 而没有被调用的原因, 文档上说有时候的确不会调用. 比如在处理异常的时候再次发生异常.<br />最近发现在 space 打开的情况下, unhandledexceptionfilter 不被调用, 此时, 会出现系统默认的 crash 对话框. 这个对话框的出现意味着 kernel32!UnhandledExceptionFilter 被调用了, 虽然在 2
SetUnhandledExceptionFilter
weixin_33816300的博客
01-28 195
现在有好多壳用 SetUnhandledExceptionFilter 安装了最后异常处理例程来愚弄 Ollydbg, 一开始确实难倒了我等菜鸟, 幸好后来有位俄罗斯高人写了个插件, 解决了这个问题, 但一直想知道原因. 最近抽空把 Hume 大侠的 SEH 文章反反复复看了好几遍, 又看了插件的 README, 总算有点明白了. 把他写出来, 请各位大侠看看, 多多指点.(...
5.windbg script-禁用IsDebuggerPresent(调试 kernel32!SetUnhandledExceptionFilter)
hgy413的专栏
07-08 1872
简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下,使用kernel32
游戏异常处理(转)
08-31 601
如何定位导致Crash的代码位置 (转)VC调试入门 游戏异常处理(转)技术类   2009-05-31 18:10   阅读24   评论0   字号: 大大  中中  小小  1.      前言 几 乎每个游戏都或多或少地存在着缺陷,辛辛苦苦完成的游戏要是最终在玩家那里崩溃了,对开发人员来说可能是
Description: The process was terminated due to an unhandled exception. Exception Info: System.NullReferenceException: Object reference not set to an instance of an object. at TheUpload.Class_Control.ComboBoxHelper.<>c__DisplayClass3_1.<EnableSearchFilter>b__0(Object s, EventArgs e) in D:\HnagHui\work\条码上传\TheUpload\TheUpload\Class_Control\ComboBoxHelper.cs:line 92 at System.Windows.Threading.DispatcherTimer.FireTick() at System.Windows.Threading.ExceptionWrapper.InternalRealCall(Delegate callback, Object args, Int32 numArgs) at System.Windows.Threading.ExceptionWrapper.TryCatchWhen(Object source, Delegate callback, Object args, Int32 numArgs, Delegate catchHandler) at System.Windows.Threading.DispatcherOperation.InvokeImpl() at MS.Internal.CulturePreservingExecutionContext.CallbackWrapper(Object obj) at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state) --- End of stack trace from previous location --- at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state) at MS.Internal.CulturePreservingExecutionContext.Run(CulturePreservingExecutionContext executionContext, ContextCallback callback, Object state) at System.Windows.Threading.DispatcherOperation.Invoke() at System.Windows.Threading.Dispatcher.ProcessQueue() at System.Windows.Threading.Dispatcher.WndProcHook(IntPtr hwnd, Int32 msg, IntPtr wParam, IntPtr lParam, Boolean& handled) at System.Windows.Threading.ExceptionWrapper.InternalRealCall(Delegate callback, Object args, Int32 numArgs) at System.Windows.Threading.ExceptionWrapper.TryCatchWhen(Object source, Delegate callback, Object args, Int32 numArgs, Delegate catchHandler) at System.Windows.Threading.Dispatcher.LegacyInvokeImpl(DispatcherPriority priority, TimeSpan timeout, Delegate method, Object args, Int32 numArgs) at MS.Win32.HwndSubclass.SubclassWndProc(IntPtr hwnd, Int32 msg, IntPtr wParam, IntPtr lParam) at MS.Win32.UnsafeNativeMethods.DispatchMessage(MSG& msg) at System.Windows.Threading.Dispatcher.PushFrameImpl(DispatcherFrame frame) at System.Windows.Application.RunDispatcher(Object ignore) at System.Windows.Application.RunInternal(Window window) at TheUpload.App.Main()这是什么问题
最新发布
03-27
<think>嗯,用户遇到了一个System.NullReferenceException的异常,导致进程终止。我需要先理解这个错误的基本情况。这个异常通常是因为尝试访问一个未实例化的对象引用。现在看堆栈跟踪,问题出现在TheUpload.Class_Control.ComboBoxHelper类的EnableSearchFilter方法中的某个匿名函数里,具体是在D:\HnagHui\work\条码上传\TheUpload\TheUpload\Class_Control\ComboBoxHelper.cs的第92行。 首先,用户可能是在使用ComboBox控件时,启用了搜索过滤功能。这时候,当用户输入内容,系统会触发某个事件处理函数,比如TextChanged事件。但在处理这个事件的时候,代码访问了一个未初始化的对象,可能是ComboBox本身、其Items集合,或者其他相关的控件属性。 接下来需要分析可能的原因。可能的情况包括:事件处理程序在控件未完全初始化时被触发,或者在过滤过程中引用了已经被释放或未正确初始化的对象。例如,可能在访问ComboBox的SelectedItem、SelectedValue或Items属性时,这些属性为null,导致异常。另外,多线程操作也可能导致问题,比如在非UI线程更新控件而没有使用Dispatcher。 解决这个问题的方法首先是检查第92行附近的代码,确认所有对象引用是否已经正确初始化。需要确保在访问任何对象之前,已经进行了null检查。例如,在使用ComboBox.Items之前,先判断ComboBox本身是否为null,或者Items集合是否存在。另外,还需要检查事件订阅是否正确,可能在控件卸载后事件仍然被触发,这时候需要取消订阅事件。 此外,堆栈中涉及DispatcherTimer和WPF的消息循环,说明可能是在定时器触发的事件中出现了问题。需要确认定时器的回调函数是否正确处理了对象的生命周期,避免在对象销毁后仍然尝试访问。 最后,建议用户添加日志或断点调试,在出现异常时查看各个变量的状态,找出具体的null引用来源。如果无法复现,可以尝试在代码中增加更多的异常处理机制,比如try-catch块,记录更详细的错误信息。</think>这个错误是典型的**空引用异常**(NullReferenceException),发生在WPF应用程序中。我来帮你逐步分析问题原因和解决方法: ======================== ### 错误核心原因 ```csharp System.NullReferenceException: Object reference not set to an instance of an object ``` - 代码试图访问未实例化的对象成员(如属性/方法) - 发生在`ComboBoxHelper.EnableSearchFilter`方法中的匿名委托 - 具体位置:`ComboBoxHelper.cs`第92行 ======================== ### 关键堆栈分析 ```text at TheUpload.Class_Control.ComboBoxHelper.<>c__DisplayClass3_1.<EnableSearchFilter>b__0(Object s, EventArgs e) at System.Windows.Threading.DispatcherTimer.FireTick() ``` - 问题出现在**定时器回调**中 - 涉及WPF的线程调度(DispatcherTimer) - 可能引发问题的场景: ```csharp // 典型错误示例:访问可能为null的控件属性 comboBox.Items.Add(...); // 当comboBox被释放时为null ``` ======================== ### 常见触发场景 1. **控件生命周期问题**: - ComboBox控件已被释放(如窗口关闭后) - 定时器仍在触发事件处理程序 2. **未初始化的对象**: ```csharp var selectedItem = comboBox.SelectedItem; // 当ItemsSource为空时 ``` 3. **异步操作问题**: ```csharp Dispatcher.BeginInvoke(() => { comboBox.Text = ""; // 可能在执行时comboBox已销毁 }); ``` ======================== ### 解决方案步骤 1. **定位到具体代码行**: 检查`ComboBoxHelper.cs`第92行,代码示例可能类似: ```csharp // 错误示例 comboBox.Items.Filter += (item) => { ... } // 未检查comboBox是否null ``` 2. **添加空值检查**: ```csharp if (comboBox?.Items != null) // 双重安全检查 { // 操作代码 } ``` 3. **处理控件释放**: 在窗口/控件卸载时取消定时器和事件订阅: ```csharp void OnUnloaded(object sender, RoutedEventArgs e) { _searchTimer.Stop(); _searchTimer.Tick -= OnSearchTick; } ``` 4. **使用安全访问模式**: ```csharp Dispatcher.Invoke(() => { if (comboBox.IsLoaded) // 检查控件是否仍在可视化树中 { // 安全操作 } }); ``` ======================== ### 预防措施 1. **启用异常中断**: 在Visual Studio中启用`Break when thrown`(调试 > Windows > Exception Settings) 2. **使用Null条件运算符**: ```csharp var text = comboBox?.SelectedItem?.ToString() ?? string.Empty; ``` 3. **日志增强**: ```csharp try { // 业务代码 } catch (NullReferenceException ex) { Logger.Log($"空引用对象:{ex.TargetSite?.Name}"); } ``` 建议通过**附加调试器**在异常发生时检查调用堆栈中的局部变量状态,特别注意涉及ComboBox及其Items集合的操作。如果问题难以复现,可以在相关代码区域添加详细的日志记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值