Windows异常处理原理

敢想敢做敢拼 · 发表于 2020-9-17 18:02:31

Windows运行过程中，不可制止会产生各种异常(由内核或应用步伐)，系统提供了一套强大的异常处置惩罚机制，灵活的使用它，可以让我们的应用步伐变的更健壮。
了解涉及异常处置惩罚的数据结构
IDT 系统停止表


有异常产生时，处置惩罚器根据IDT的停止号，找到对应的处置惩罚函数 KiTrapxx，异常处置惩罚函数会将异常封装到一个数据结构。
[C++] 纯文本检察 复制代码typedef struct _EXCEPTION_RECORD32 { DWORD ExceptionCode; //异常代码 DWORD ExceptionFlags; //异常标志 DWORD ExceptionRecord; //EXCEPTION_RECORD32指针 DWORD ExceptionAddress; //产生异常时的地址 DWORD NumberParameters; //异常附加信息数目 DWORD ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS]; //异常附加信息,指针指向一个数组} EXCEPTION_RECORD32, *PEXCEPTION_RECORD32;
CONTEXT异常上下文，不太严谨，姑且如许认为吧，它包含了异常产生时，执行环境的具体信息
[C++] 纯文本检察 复制代码typedef struct _CONTEXT { //标识哪些成员是有效的 DWORD ContextFlags; //调试寄存器 DWORD Dr0; DWORD Dr1; DWORD Dr2; DWORD Dr3; DWORD Dr6; DWORD Dr7; FLOATING_SAVE_AREA FloatSave; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_SEGMENTS. // DWORD SegGs; DWORD SegFs; DWORD SegEs; DWORD SegDs; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_INTEGER. // DWORD Edi; DWORD Esi; DWORD Ebx; DWORD Edx; DWORD Ecx; DWORD Eax; // // This section is specified/returned if the // ContextFlags word contians the flag CONTEXT_CONTROL. // DWORD Ebp; DWORD Eip; DWORD SegCs; // MUST BE SANITIZED DWORD EFlags; // MUST BE SANITIZED DWORD Esp; DWORD SegSs; // // This section is specified/returned if the ContextFlags word // contains the flag CONTEXT_EXTENDED_REGISTERS. // The format and contexts are processor specific // BYTE ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION]; } CONTEXT;

当KiTrapxxx处置惩罚完成并将异常信息封装好后，转而调用系统内核nt!KiDispatchException函数。
KiDispatchException 该函数是异常处置惩罚的核心函数，该函数代码比较长，这里贴出函数头的部分代码。


该函数会根据异常类型及是否存在调试器，来进行不同的处置惩罚。

1.如果存在内核调试器，并设置处置惩罚进度为第一次处置惩罚，内核调试器如果不能处置惩罚异常则会停止，重新把控制权交给用户，如果调试器处置惩罚了异常，那么会从发生异常的地方继续执行指令。
2.不存在内核调试器，大概内核调试器不能处置惩罚异常，内核就会调用RtlDispatchException函数，依次调用注册的异常处置惩罚函数。(SEH)
3.如果RtlDispatchException也没有能够处置惩罚异常，内核会重新将异常交给调试器。
4.如果调试器仍然处置惩罚不了，此时就可以见到久违的蓝屏错误了。(0x0000008e)

1.如果存在内核调试器，将异常交给调试器处置惩罚。
2.如果存在用户态调试器，则交给调试器处置惩罚，调试器未处置惩罚该异常大概不存在调试器，KiDispatchException会压入2个数据结构，exception_record、context，让后将控制权返回给用户态函数，位于ntdll!RtlDispatchException。
3.如果RtlDispatchException未能处置惩罚异常，此时会再次将异常返回给内核KiDispatchException，它会将异常重新转给用户态调试器，如果仍然无法处置惩罚异常，就竣事进程。
4.竣事进程前，系统会再次调用注册的异常处置惩罚函数，然后会竣事异常进程。

SEH （结构化异常处置惩罚）
前面讲到的是内核异常处置惩罚流程，下面说下用户态的异常处置惩罚。
SEH是一种异常处置惩罚机制，发生异常时，系统通过它找到处置惩罚函数，处置惩罚该异常。
涉及到的数据结构
TEB  线程环境块(翻译过来是如许的)
[C++] 纯文本检察 复制代码typedef struct _TEB { PVOID Reserved1[12]; PPEB ProcessEnvironmentBlock; PVOID Reserved2[399]; BYTE Reserved3[1952]; PVOID TlsSlots[64]; BYTE Reserved4[8]; PVOID Reserved5[26]; PVOID ReservedForOle;  // Windows 2000 only PVOID Reserved6[4]; PVOID TlsExpansionSlots;} TEB, *PTEB;
TIB 线程信息块
typedef struct _NT_TIB32 { DWORD ExceptionList; DWORD StackBase; DWORD StackLimit; DWORD SubSystemTib;#if defined(_MSC_EXTENSIONS) union {       DWORD FiberData;       DWORD Version; };#else DWORD FiberData;#endif DWORD ArbitraryUserPointer; DWORD Self;} NT_TIB32, *PNT_TIB32;

异常处置惩罚结构( ExceptionList成员)
[C++] 纯文本检察 复制代码typedef struct _NT_TIB32 { DWORD ExceptionList; DWORD StackBase; DWORD StackLimit; DWORD SubSystemTib; #if defined(_MSC_EXTENSIONS) union { DWORD FiberData; DWORD Version; };#else DWORD FiberData;#endif DWORD ArbitraryUserPointer; DWORD Self;} NT_TIB32, *PNT_TIB32;

异常处置惩罚结构( ExceptionList成员)[C++] 纯文本检察 复制代码typedef struct _EXCEPTION_REGISTRATION_RECORD { struct _EXCEPTION_REGISTRATION_RECORD *Next; //下一个处置惩罚 PEXCEPTION_ROUTINE Handler; //异常处置惩罚函数} EXCEPTION_REGISTRATION_RECORD;异常处置惩罚函数声明
typedef
_IRQL_requires_same_
_Function_class_(EXCEPTION_ROUTINE)
EXCEPTION_DISPOSITION
NTAPI
EXCEPTION_ROUTINE (
_Inout_ struct _EXCEPTION_RECORD *ExceptionRecord, //异常信息
_In_ PVOID EstablisherFrame, //陷阱帧
_Inout_ struct _CONTEXT *ContextRecord, //异常上下文
_In_ PVOID DispatcherContext // 未知
);

typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE;
从XP到现在的win10，这些数据结构都没有大的变动。
从以上流程知道，要处置惩罚异常，需要注册SEH处置惩罚函数，SEH位于TIB头，是一个单项链表，通过next指向下一个处置惩罚函数。
SEH异常处置惩罚代码(此处代码来自网上，做了部分调整)
[C++] 纯文本检察 复制代码#include #include #include #include //异常处置惩罚函数DWORD dwTest;EXCEPTION_DISPOSITION NTAPI ExceptHandler( _Inout_ struct _EXCEPTION_RECORD *ExceptionRecord, _In_ PVOID EstablisherFrame, _Inout_ struct _CONTEXT *ContextRecord, _In_ PVOID DispatcherContext) { printf("进入异常处置惩罚\n"); printf("异常地址:%X\n", ExceptionRecord->ExceptionAddress, ExceptionRecord->ExceptionCode); ContextRecord->Eax = (DWORD)(&dwTest); return ExceptionContinueExecution;} int main(){ PTEB teb=NULL; _asm { mov eax,fs:[0] mov teb,eax } printf("TEB %X \n", teb); printf("注册SEH\n"); __asm { lea eax, ExceptHandler //将异常处置惩罚函数地址装入eax push eax //异常处置惩罚函数入栈 push fs : [0] //构造EXCEPTION_REGISTRATION_RECORD mov dword ptr fs : [0], esp //将构造好的处置惩罚函数加入SEH链表头部 } __asm { xor eax, eax mov dword ptr[eax], 1234h //内存访问无效异常 } printf("删除SEH\n"); //卸载异常处置惩罚函数并恢复堆栈 __asm { pop dword ptr fs : [0] add esp, 4 } printf("dwTest=%X\n", dwTest); system("pause");}


下面在调试器中看下系统的异常处置惩罚流程，起首在内核的KiDispatchException函数下断，运行exe。
bp 0x83ef7dc1假造机有题目，触发异常后关闭，就在用户模式下调试了。
注册SEH前的异常处置惩罚列表0:000> dd fs:[0]
0053:00000000  0019ff60 001a0000 0019d000 00000000
0053:00000010  00001e00 00000000 00260000 00000000
0053:00000020  00004d5c 00000308 00000000 0026002c
0053:00000030  0025d000 00000000 00000000 00000000
0053:00000040  00000000 00000000 00000000 00000000
0053:00000050  00000000 00000000 00000000 00000000
0053:00000060  00000000 00000000 00000000 00000000
0053:00000070  00000000 00000000 00000000 00000000
0x19ff60 ExceptionList地址，继续检察 dd 0x19ff600:000> dd 0x19ff60
0019ff60  0019ffcc 00434bb0 af181fd2 00000000
0019ff70  0019ff80 74b50419 0025d000 74b50400
0019ff80  0019ffdc 7750662d 0025d000 6bd86c90
0019ff90  00000000 00000000 0025d000 00000000
0019ffa0  00000000 00000000 00000000 00000000
0019ffb0  00000000 00000000 00000000 00000000
0019ffc0  00000000 0019ff8c 00000000 0019ffe4
0019ffd0  775186d0 1c9b01fc 00000000 0019ffec
19ffcc 指向下一个异常处置惩罚函数，434bb0地址为当前异常处置惩罚函数地址。
我们看下，下一个异常处置惩罚函数0:000> dd 0x19ffcc
0019ffcc  0019ffe4 775186d0 1c9b01fc 00000000
0019ffdc  0019ffec 775065fd ffffffff 775251d2
0019ffec  00000000 00000000 0042c6e5 0025d000
0019fffc  00000000 78746341 00000020 00000001
001a000c  00003318 000000dc 00000000 00000020
001a001c  00000000 00000014 00000001 00000007
001a002c  00000034 0000017c 00000001 00000000
001a003c  00000000 00000000 00000000 00000000
0x775186d0处函数，这是MSVC编译器对系统SEH异常的增强，后面会陆续讲到。



接着安装我们的SEH异常处置惩罚函数。
004325e6 8d05cfc34200 lea eax, [targetexe!ILT+970(?ExceptHandlerYG?AW4_EXCEPTION_DISPOSITIONPAU_EXCEPTION_RECORDPAXPAU_CONTEXT (0042c3cf)]004325ec 50 push eax004325ed 64ff3500000000 push dword ptr fs:[0]004325f4 64892500000000 mov dword ptr fs:[0], esp fs:0053:00000000=0019ff60 //安装异常处置惩罚函数004325fb 33c0 xor eax, eax004325fd c70034120000 mov dword ptr [eax], 1234h //产生内存写入异常

检察安装SEH后的异常处置惩罚列表0:000> dd 19fe44
0019fe44  0019ff60 0042c3cf 00646110 00499d2c
0019fe54  0025d000 cccccccc cccccccc cccccccc
0019fe64  cccccccc cccccccc cccccccc cccccccc
0019fe74  cccccccc cccccccc cccccccc cccccccc
0019fe84  cccccccc cccccccc cccccccc cccccccc
0019fe94  cccccccc cccccccc cccccccc cccccccc
0019fea4  cccccccc cccccccc cccccccc cccccccc
0019feb4  cccccccc cccccccc cccccccc cccccccc
0x42c3cf 这里是我们注册的SEH处置惩罚函数地址。


内核会将异常转到用户态，然后调用我们注册的处置惩罚函数，这就是windows异常处置惩罚的整体流程，后面会陆续分享涉及SEH、VEH等处置惩罚细节。
文章地址 https://blog.csdn.net/vs2008ASPNET/article/details/101752690
来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

		自动登录	找回密码
密码			立即注册

游戏名称	游戏描述	开服状态	运营商	游戏链接
攻城掠地-仿官	全新玩法，觉醒武将，觉醒技能	每周新区	经典复古版本，长久稳定	进入游戏
巅峰新版攻	攻城掠地公益服	攻城掠地SF	新兵种、新武将（兵种）	进入游戏
攻城掠地公	散人玩家的天堂	新开		进入游戏
改版攻城掠	上线即可国战PK	稳定新区	全新改版，功能强大	进入游戏
少年江山	高福利高爆率	刚开一秒	江湖水落潜蛟龙	进入游戏
太古封魔录	开服送10亿钻石	福利多多	不用充钱也可升级	进入游戏
神魔之道	签到送元宝	稳定开新区	送豪华签到奖励	进入游戏
神奇三国	统帅三军，招揽名将	免费玩新区	激情国战，征战四方	进入游戏
龙符	三日豪礼领到爽	天天开新区	助你征战无双	进入游戏
王者之师	免费领豪华奖励	免费玩新区	6元送6888元宝	进入游戏
三国霸业	战车-珍宝-觉醒-攻城掠地SF-全新玩法	免费玩新区	攻城掠地私服	进入游戏
手游私服盒子	各类免费游戏	0.1折送海量资源	各类手游私服	进入游戏
皇家MU2	《奇迹 2：传奇》韩国网禅公司《奇迹》正统续作。	3D锁视角Mmrpg	暗黑3+传奇+流放之路+奇迹	进入游戏