VEH&SEH异常详解

字数统计: 1.9k字   |   阅读时长≈ 8分

因为Trap_Frame结构在3环的原因,会有一个从0环临时返回3环的过程,所以在用户层的异常执行过程相比于内核层更加复杂,我们继续探究。

0x00 前言

因为Trap_Frame结构在3环的原因,会有一个从0环临时返回3环的过程,所以在用户层的异常执行过程相比于内核层更加复杂。

0x01 VEH

首先定位到KiUserExceptionDispatcher函数,这里首先通过RtlDispatchException来找到异常处理的函数

image-20220328111335748.png

经过异常处理之后调用ZwContinue重新进入0环,这里是因为Trap_Frame结构被修改了,这里需要重新进入0环把新的值传入

image-20220328111820754.png

如果这里异常没有处理成功会再次分发异常

image-20220328113310567.png

RtlDispatchException

这里RtlDispatchException是分发异常的函数,0环跟3环是共用的,但是有一些细节是不同的,我们跟进去看看

image-20220328113755960.png

首先看一下3环的RtlDispatchException里面有一个RtlCallVectoredExceptionHandlers

image-20220328114206798.png

但是在0环的RtlDispatchException里面是没有这个函数的

image-20220328114346379.png

跟进RtlCallVectoredExceptionHandlers,首先找全局链表(VEH链表),存储了很多个异常处理函数,如果在全局链表里面没有找到,就会继续往下找局部链表(SEH链表)

image-20220328114831441.png

我们尝试用代码来实现VEH

// VEH1.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include <windows.h>
typedef PVOID (NTAPI *FnAddVectoredExceptionHandler)(ULONG, _EXCEPTION_POINTERS *);
FnAddVectoredExceptionHandler MyAddVectoredExceptionHeader;
// UEH异常处理函数只能返回2个值
// EXCEPTION_CONTINUE_EXECUTION 已处理
// EXCEPTION_CONTINUE_SEARCH 未处理
LONG NTAPI VectExceptionHandler( PEXCEPTION_POINTERS pExcepInfo )
{
::MessageBoxA(NULL, "VEH Function run", "VEH error", MB_OK);
if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xC0000094)
{
//pExcepInfo->ContextRecord->Eip = pExcepInfo->ContextRecord->Eip + 2;
pExcepInfo->ContextRecord->Ecx = 1;
return EXCEPTION_CONTINUE_EXECUTION;
}
return EXCEPTION_CONTINUE_SEARCH;
}
VOID VEH()
{
// 动态获取AddUectoredExceptionHandler函数地址
HMODULE hMyModule = GetModuleHandle("kernel32.dll");
MyAddVectoredExceptionHeader = (FnAddVectoredExceptionHandler)::GetProcAddress(hMyModule, "AddVectoredExceptionHandler");
// 参数1表示插入VEH链的头部、0表示插入到UEH链的尾部
MyAddVectoredExceptionHeader( 0, (_EXCEPTION_POINTERS *)&VectExceptionHandler );
// 构造除0异常
__asm
{
xor edx,edx
xor ecx,ecx
mov eax,0x10
idiv ecx// EDX:EAX 除以 ECX
}
printf("veh_code run here again");
}
int main(int argc, char* argv[])
{
VEH();
getchar();
return 0;
}

AddVectoredExceptionHandler

这里有几个注意的点,首先是注册异常处理函数,使用到AddVectoredExceptionHandler,这个函数是在kernel32.dll里面的,在xp以前的版本里面是没有的,所以需要动态获取

PVOID AddVectoredExceptionHandler(
  ULONG   First,
  PVECTORED_EXCEPTION_HANDLER Handler
);

第二个要注意的点就是veh是一个链表,第一个参数表示插入异常的位置,1的话就是插入到链表的头部,0的话就是插入到链表的尾部

image-20220328144105354.png

第三个点就是异常处理的指针指向两个结构,一个是ContextRecord,这个结构里面存储的是所有寄存器的值,另外一个就是ExceptionRecord,这个结构里面存储的就是异常的具体信息

image-20220328145137446.png

第四个点就是因为构造的是ecx为0,那么这里异常处理函数就可以修改eip指向的地址或者修改ecx的值为1即可

image-20220328145326738.png

看下效果,首先是执行了我们自己注册的异常处理函数里面的MessageBoxA,然后程序正常下向下执行

image-20220328145408530.png

image-20220328145421162.png

VEH异常流程

1.CPU捕获异常信息

2.通过KiDispatchException进行分发(EIP=KiUserExceptionDispatcher)

3.KiUserExceptionDispatcher调用RtlDispatchException

4.RtlDispatchException查找VEH处理函数链表 并调用相关处理函数

5.代码返回到KiUserExceptionDispatcher

6.调用ZwContinue再次进入0环(ZwContinue调用NtContinue,主要作用就是恢复TRAP_FRAME 然后通过KiServiceExit返回到3环)。

7.线程再次返回3环后,从修正后的位置开始执行

0x02 SEH

SEH就是一个跟0环异常处理结构类似的链表

image-20220328161015012.png

首先看一下RtlpGetStackLimits

image-20220328160146709.png

取出了fs:[8]fs:[4]

image-20220328160159015.png

我们知道fs:[0]指向的是_NT_TIB结构,那么fs:[4]对应的就是StackBasefs:[8]对应的就是StackLimit,即基址和界限

然后再拿到fs:[0]

image-20220328160704780.png

image-20220328160722882.png

拿到一系列的参数之后,会首先进行一系列的判断

image-20220328160901600.png

RtlpExecuteHandlerForException

最后调用RtlpExecuteHandlerForException处理异常

image-20220328160907800.png

SEH异常的实现

// SEH1.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include <windows.h>
// ring0
/*
typedef struct _EXCEPTION_REGISTRATION_RECORD {
struct _EXCEPTION_REGISTRATION_RECORD *Next;
PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;
*/
struct MyException
{
struct MyException *prev;
DWORD Handle;
};
EXCEPTION_DISPOSITION __cdecl MyException_Handler(
struct _EXCEPTION_RECORD *ExceptionRecord,  // ExceptionRecord 存储异常信息 什么类型异常产生位置
void* EstablisherFrame, // MyException结构体地址
struct _CONTEXT *ContextRecord, // Context结构体 异常发生时的各种寄存器值堆栈位置等
void* DispatcherContext)
{
::MessageBoxA(NULL, "SEH Function", "SEH error", MB_OK);
if (ExceptionRecord->ExceptionCode == 0xC0000094)
{
ContextRecord->Eip = ContextRecord->Eip + 2;
return ExceptionContinueExecution;
}
return ExceptionContinueSearch;
}
void ExceptionTest()
{
DWORD temp;
MyException myException;
__asm
{
mov eax,FS:[0]
mov temp,eax
lea ecx,myException
mov FS:[0],ecx
}
myException.prev = (MyException*)temp;
myException.Handle = (DWORD)&MyException_Handler;
__asm
{
xor edx,edx
xor ecx,ecx
mov eax,0x10
idiv ecx
}
// 摘除链表
__asm
{
mov eax,temp
mov FS:[0],eax
}
printf("SEH run again");
}
int main(int argc, char* argv[])
{
ExceptionTest();
getchar();
return 0;
}

_EXCEPTION_REGISTRATION

首先定义一个异常处理_EXCEPTION_REGISTRATION结构

image-20220328163927041.png

然后定义异常处理函数

EXCEPTION_DISPOSITION __cdecl MyException_Handler(
struct _EXCEPTION_RECORD *ExceptionRecord,  // ExceptionRecord 存储异常信息 什么类型异常产生位置
void* EstablisherFrame, // MyException结构体地址
struct _CONTEXT *ContextRecord, // Context结构体 异常发生时的各种寄存器值堆栈位置等
void* DispatcherContext)

image-20220328164040189.png

然后在当前线程里面声明结构体,把自己的结构体挂到链表里面,并定义Next指针指向下一个结构体

image-20220328164133895.png

然后构造除0异常,然后将我们自己定义的结构体从链表里面摘除

image-20220328164256525.png

运行结果如下

image-20220328164336804.png

image-20220328164343143.png

总结

1.FS:[0]指向SEH链表的第一个成员

2.SEH的异常处理函数必须在当前线程的堆栈中

3.只有当VEH中的异常处理函数不存在或者不处理才会到SEH链表中查找

SEH异常流程

1.RtlpGetStackLimits取出_NT_TIB结构的fs:[4]fs:[8],那么fs:[4]对应的就是StackBasefs:[8]对应的就是StackLimit,即基址和界限

2.RtlpGetRegistrationHead取出_NT_TIB结构的fs:[0],取出ExceptionList

3.然后调用RtlpExecuteHandlerForException处理异常

0x03 SEH编译器扩展

编译器可以直接帮我们进行简化挂入链表、异常过滤、执行异常处理程序的操作

image-20220328200408099.png

在过滤表达式处只能有以下三种情况

1) EXCEPTION_EXECUTE_HANDLER(1) 执行except代码 
2) EXCEPTION_CONTINUE_SEARCH(0) 寻找下一个异常处理函数
3) EXCEPTION_CONTINUE_EXECUTION(-1) 返回出错位置重新执行

而过滤表达式可以有3种写法

1) 直接写常量值 
2) 表达式
3) 调用函数

常量值

// SEH2.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include <windows.h>
void ExceptionTest()
{
_try
{
_asm
{
xor edx,edx
xor ecx,ecx
mov eax,0x10
idiv ecx
}
}
_except(EXCEPTION_EXECUTE_HANDLER)
{
printf("SEH function run");
}
}
int main(int argc, char* argv[])
{
ExceptionTest();
getchar();
return 0;
}

image-20220328201627389.png

表达式

使用GetExceptionCode得到异常码

// SEH3.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include <windows.h>
void ExceptionTest()
{
_try
{
_asm
{
xor edx,edx
xor ecx,ecx
mov eax,0x10
idiv ecx
}
}
_except(GetExceptionCode() == 0xC0000094?EXCEPTION_EXECUTE_HANDLER:EXCEPTION_CONTINUE_SEARCH)
{
printf("SEH function run");
}
}
int main(int argc, char* argv[])
{
ExceptionTest();
getchar();
return 0;
}

image-20220328201811639.png

调用函数

使用GetExceptionInformation得到指向异常处理结构的指针

// SEH4.cpp : Defines the entry point for the console application.
//
#include "stdafx.h"
#include <windows.h>
int ExceptFilter(LPEXCEPTION_POINTERS pExceptionInfo)
{
pExceptionInfo->ContextRecord->Ecx = 1;
return EXCEPTION_CONTINUE_EXECUTION;// -1 返回出错位置重新执行
}
void ExceptionTest()
{
_try
{
_asm
{
xor edx,edx
xor ecx,ecx
mov eax,0x10
idiv ecx
}
}
_except(ExceptFilter(GetExceptionInformation()))
{
printf("SEH function run");
}
}
int main(int argc, char* argv[])
{
ExceptionTest();
getchar();
return 0;
}

这里先修改值之后回到异常发生的地方重新执行,没有异常了,然后就走到getchar()的地方

image-20220328202630875.png


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。