SEH 结构化异常处理（1）

核心提示：[工具]flyod1.10[目的]学习SEH的手法,另书中是用SoftICE调试的,看起来不习惯.根据原文内容重新整理一下,便于和我一样的菜鸟们一起学习.今天下决心,好好学习,这是就算是个开始吧!感觉学明白的确很不容易![注释]?--为不能理解的地方,请大侠们指点一下.学习过程中,有理解错误的地方,肯请大侠们多多指教.

[工具]flyod1.10

[目的]学习SEH的手法,另书中是用SoftICE调试的,看起来不习惯.根据原文内容重新整理一下,便于和我一样的菜鸟们一起学习.

今天下决心,好好学习,这是就算是个开始吧!感觉学明白的确很不容易!

[注释]?--为不能理解的地方,请大侠们指点一下.学习过程中,有理解错误的地方,肯请大侠们多多指教.

[练习对象]加密与加密二版第10章,光盘配套的练习软件:seh.exeseh2.exe

[writer]　ytcswb　2005.2.1　感谢看学及论坛的大侠们为我们提供这么好的学习资料。

1.例子seh.exe学习:

00401000>$　8D4424F8　　leaeax,dwordptrss:[esp-8]//程序入口！根据下面的代码分析,这里显然可以
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//理解为开辟8字节的空间,并把栈顶指针保存到eax
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//相当于subesp,8;leaeax,dwordptrss:[esp]
00401004　.　64:870500000>xchgdwordptrfs:[0],eax　　//记住fs[0]永远是指向当前err结构的指针,
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//执行完成后,fs[0]指向栈顶,准备在堆栈中构造1个err结构
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//eax等于原fs[0],即指向原来的err结构的指针,即那个err结构的地址
0040100B　.　BB2E104000　movebx,Seh.0040102E　　　　//地址40102e-->ebx,建议在此地址上设断点,才能正常跟踪入seh代码中
00401010　.　53　　　　　　pushebx　　　　　　　　　　//压入堆栈,即当前err结构的handler成员,当前异常处理代码的入口地址
00401011　.　50　　　　　　pusheax　　　　　　　　　　//压入原fs[0],即当前err结构的prev成员,即下一个err结构的地址
此时堆栈:
0012FFBC　0012FFE0　指针到下一个SEH记录//0012FFE0是个指针,看看就知道指向下一个err结构,数值上等于下一个err结构的地址
0012FFC0　0040102E　SE句柄　　　　　　　//建立了1个当前的err结构
0012FFE0　FFFFFFFF　SEH链尾部
0012FFE4　77E74809　SE句柄
err结构的定义[在Essup.INC源文件中定义的---VC++CRT(CRT含义:C++RunTimelibrary)]:
_EXCEPTION_REGISTERATIONstru
　prev　　dd?//指向下一个err结构的指针,数值上等于下一个err结构的首地址(在堆栈中)
　handlerdd?//指向异常处理代码的指针,数值上等于异常处理代码的入口地址即首地址
_EXCEPTION_REGISTERATIONends
00401012　.　BE00000000　movesi,0　　　　　　　　　　//简单的赋值语句
00401017　.　8B06　　　　　moveax,dwordptrds:[esi]　//读取线性地址0,产生异常
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//执行后,windows检查到异常,执行线程马上被中段,从用户模式转到内核模式
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//控制权交到操作系统的异常调试程序(exceptiondispatcher),由它负责找到
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//处理这个异常的方法,即所有应用程序的异常最终都是由windwos来处理的,
　　　　　　　　　　　　　　　　　　　　　　　　　　　　//同一个版本的windows有固定的异常处理代码.
//如果你把这句nop掉了,也就等于去除了异常.会接着执行到下面的代码,并显示"SEHFail"!
　　　　　　
00401019　.　6A00　　　　push0　　　　　　　　　　　　　　　　　;/Style=MB_OK|MB_APPLMODAL
0040101B　.　6800304000　pushSeh.00403000　　　　　　　　　　　　;|Title="OK"
00401020　.　6810304000　pushSeh.00403010　　　　　　　　　　　　;|Text="SEHFail"
00401025　.　6A00　　　　push0　　　　　　　　　　　　　　　　　;|hOwner=NULL
00401027　.　E81C000000　call<jmp.&USER32.MessageBoxA>　　　　　;MessageBoxA
0040102C　.　EB13　　　　jmpshortSeh.00401041
0040102E　.　6A00　　　　push0　　　　　　　　　　　　　　　　　;/Style=MB_OK|MB_APPLMODAL
00401030　.　6800304000　pushSeh.00403000　　　　　　　　　　　　;|Title="OK"
00401035　.　6803304000　pushSeh.00403003　　　　　　　　　　　　;|Text="SEHSucceed"
0040103A　.　6A00　　　　push0　　　　　　　　　　　　　　　　　;|hOwner=NULL
0040103C　.　E807000000　call<jmp.&USER32.MessageBoxA>　　　　　;MessageBoxA
00401041　>　6A00　　　　push0　　　　　　　　　　　　　　　　　;/ExitCode=0
00401043　.　E806000000　call<jmp.&KERNEL32.ExitProcess>　　　　;ExitProcess
00401048　$-FF2508204000jmpdwordptrds:[<&USER32.MessageBoxA>];　USER32.MessageBoxA
0040104E　.-FF2500204000jmpdwordptrds:[<&KERNEL32.ExitProcess>;　kernel32.ExitProcess
00401054　　　00　　　　　　db00
00401055　　　00　　　　　　db00
---------------------------------------------------------------------------------------------------
00401017　.　8B06　　　　　moveax,dwordptrds:[esi]　
//读取线性地址0,产生异常
//执行完这1条指令,od的状态行可以看到,产生了什么异常.状态行的内容如下:
//访问违反:读取[00000000],使用shift+F7/F8/F9键跳过异常以继续执行程序.
//windows检测到了这个异常,就会向堆栈压入3个结构.压入顺序为EXCEPTION_RECORD,EXCEPTION_CONTEXT,EXCEPTION_POINTERS
//EXCEPTION_POINTERS结构就在栈顶,其定义如下:
typedefstrut_EXCEPTION_POINTERS{
+0pEXCEPTION_RECORDExceptionRecordDWORD?//指针,指向EXCEPTION_RECORD结构,即EXCEPTION_RECORD的首地址
+4pCONTEXTContextRecord　　　　　　DWORD?//指针,指向EXCEPTION_CONTEXT结构,即EXCEPTION_CONTEXT的首地址
}_EXCEPTION_POINTERSends

在看看EXCEPTION_RECORD结构: