32位汇编- 异常展开

之前的笔记搬运

0x1 什么是异常展开

  • 在多层嵌套try catch时, SEH异常处理链也会出现多层;

  • 如函数A 调用 函数B , 并且每个函数内都有自己的try catch,这时候如果在B函数内产生了异常, 并且没有被B函数的SEH处理的话,那么就会向A抛出该异常, 这时候如果A处理了该异常,这时候的函数流程应该是执行到函数A了, 那么有2个问题:

1
2
-   B函数的堆栈空间没有释放, EBP和ESP还是B函数的
-   堆栈控件没有释放, 那么SEH链当前的结点还是B函数异常处理的指针

而异常展开就是为了解决这两个问题, 会把当前节点之上的所有SEH节点摘除

0x2 异常展开的方法

关键API : RtlUnwind (lpLastStackFrame, lpCodeLabel, lpExceptionRecord, dwRet)

一共有4个参数

1
2
3
4
5
6
7
lpLastStackFrame: 一直展开到指定节点为止, 填NULL表示全部展开

lpCodeLabel: 指定函数返回的位置,如果这个参数指定为NULL,函数使用正常的返回方式,也就是返回到调用RtlUnwind 函数的后面一条指令,否则,函数直接返回到lpCodeLabel 指定的地址

lpCodeLabel: 异常记录, 一般填NULL, 除了你需要自己构造异常结构

dwRet: 保留参数, 一般填NULL

  • 这个API的作用就是会把指定节点之上的所有SEH节点摘除, 在没摘除一个节点之前,会对该节点抛出一个C0000027异常码的异常, 表示要删除该节点了, 被称为异常通告

  • 栈空间可以通过异常记录结构的附加数据来记录每个函数的EBP和ESP, 来还原堆栈环境

感谢大佬

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒... || 你是本博第 位访客 || 历经 次回眸才与你相遇

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个拼命生存, 却又想要追求自由的人儿;