Windows 系统编程初探 (六)结构化异常处理之三:SEH 的简单应用
2005-04-19 01:03
471 查看
前面我们已经学习了SEH的两种处理方法,现在来看一下SEH的实际应用。 SEH 最基本的应用当然是保证
应用程序的健壮性。但事实上,如果应用程序发生异常,是很难修复的!虽然我们可以通过异常代码和有限的
异常信息来分析它,但根本无法保证异常修复后程序能够继续正常地工作。虽然在前面的例程中,我们都很好
的修复了异常,但那些异常只是人为的设置,实际应用中一般不会这么干。我们所能做的,只有老老实实地释
放掉程序中分配的系统资源,然后体面地结束我们的应用程序,当然,更友好一点的做法将异常信息写入日志
文件里,然后重新启动程序,像最新版的IE,它还要求发送错误报告呢!M$真是学乖了,一个异常可能就是一
个漏洞,如果程序不做异常处理,却转交给系统弹出错误消息框,那当用户点击"Cancel"启动调试器的话,一
个新的攻击点可能就此被发现了,这比直接去 IE 中寻找漏洞要有效得多!
下面我要讲述的一个应用是跟加密反跟踪有关的,利用SEH的回调特性,我们打乱程序的执行顺序,让跟
踪调试无法顺利进行。这里,需要用到的异常是单步调试异常,我的做法是在程序的正常执行序中设置一个标
志作为功能请求,然后触发单步异常,进入异常处理函数后根据前面的请求来完成所需要得功能。这样一来,
如果用调试器跟踪代码将永远也到不了功能代码处,因为调试器将会接管单步调试的异常处理,异常处理例程
就永远也不会执行了,更好的做法是事先将所有功能代码全部加密,在异常处理函数中现解密现执行,这样,
静态反编译也摸会不着头脑。不多说废话了,请看例子。
;**********************************************************
;结构化异常处理的单步应用例程
;本例中多处使用了参数 CONTEXT,注意一下
;也就时说,在异常处理程序中可以通过改变 CONTEXT
;中的字段的值来修改异常线程中寄存器的值。
;**********************************************************
.386
.MODEL FLAT
include ../INCLUDE/PERELATION.INC
EXTRN MessageBoxA:PROC
EXTRN ExitProcess:PROC
.Data
szTitle DB "标题",0
szMessage1 DB "无可奈何花落去,似曾相识燕归来。",0
szMessage2 DB "无奈朝来寒雨晚来风。自是人生长恨水长东。",0
szMessage3 DB "落花人独立,微雨燕双飞。当时明月在,曾照彩云归。",0
.Code
_Header:
ASSUME FS:NOTHING
PUSH EBP
;挂接异常处理函数
PUSH OFFSET _ExceptionFilter
PUSH DWORD PTR FS:[0]
MOV FS:[0],ESP
;设置单步异常,将 EFLAGS 寄存器 TF 位置1,触发单步异常
PUSHFD
OR DWORD PTR [ESP],0100H
POPFD
;下一条指令将触发单步异常
;以EAX的值来请求需要执行的功能
;EAX = 0,执行功能1
XOR EAX,EAX
;EAX = 1,执行功能2
INC EAX
;EAX = 2,执行功能3
INC EAX
;清除 SEH 节点,恢复堆栈
POP DWORD PTR FS:[0]
ADD ESP,4
POP EBP
PUSH 0
CALL ExitProcess
;异常处理函数
_ExceptionFilter PROC
MOV EAX,ESP
PUSHAD
;取得参数EXCEPTION_RECORD
MOV ESI,[EAX + 4]
;取得参数CONTEXT
MOV EDI,[EAX + 12]
;分析异常代码
MOV EAX,[ESI].ExceptionCode
;是否单步异常
CMP EAX,080000004H
JE _IsSingleStep
;其他异常,转交系统处理
POPAD
XOR EAX,EAX
INC EAX
RET
;单步异常处理
_IsSingleStep:
;取得EAX寄存器的值
MOV EAX,[EDI].C_Eax
;=0 执行功能1
TEST EAX,EAX
JE _Function_I
;=1 执行功能2
DEC EAX
JZ _Function_II
;=2 执行功能3
DEC EAX
JZ _Function_III
;其他,直接退出
JMP _Filter_Exit
_Function_I:
;显示 szMessage1
PUSH MB_OK
PUSH OFFSET szTitle
PUSH OFFSET szMessage1
PUSH NULL
CALL MessageBoxA
;将 TF 置 1,继续触发单步异常
OR [EDI].C_EFlags,0100H
JMP _Filter_Exit
_Function_II:
;显示 szMessage2
PUSH MB_OK
PUSH OFFSET szTitle
PUSH OFFSET szMessage2
PUSH NULL
CALL MessageBoxA
;将 TF 置 1,继续触发单步异常
OR [EDI].C_EFlags,0100H
JMP _Filter_Exit
_Function_III:
;显示 szMessage3
PUSH MB_OK
PUSH OFFSET szTitle
PUSH OFFSET szMessage3
PUSH NULL
CALL MessageBoxA
;结束了,不再触发单步异常
_Filter_Exit:
POPAD
XOR EAX,EAX
RET
_ExceptionFilter ENDP
END _Header
将上面的代码编译连接生成 EXE 文件,试着执行一下,它将连接弹出三个消息框,但是如果用调试器打开
它,那就什么反应也没有就结束了,呵呵,我们的目的已经达到了。
应用程序的健壮性。但事实上,如果应用程序发生异常,是很难修复的!虽然我们可以通过异常代码和有限的
异常信息来分析它,但根本无法保证异常修复后程序能够继续正常地工作。虽然在前面的例程中,我们都很好
的修复了异常,但那些异常只是人为的设置,实际应用中一般不会这么干。我们所能做的,只有老老实实地释
放掉程序中分配的系统资源,然后体面地结束我们的应用程序,当然,更友好一点的做法将异常信息写入日志
文件里,然后重新启动程序,像最新版的IE,它还要求发送错误报告呢!M$真是学乖了,一个异常可能就是一
个漏洞,如果程序不做异常处理,却转交给系统弹出错误消息框,那当用户点击"Cancel"启动调试器的话,一
个新的攻击点可能就此被发现了,这比直接去 IE 中寻找漏洞要有效得多!
下面我要讲述的一个应用是跟加密反跟踪有关的,利用SEH的回调特性,我们打乱程序的执行顺序,让跟
踪调试无法顺利进行。这里,需要用到的异常是单步调试异常,我的做法是在程序的正常执行序中设置一个标
志作为功能请求,然后触发单步异常,进入异常处理函数后根据前面的请求来完成所需要得功能。这样一来,
如果用调试器跟踪代码将永远也到不了功能代码处,因为调试器将会接管单步调试的异常处理,异常处理例程
就永远也不会执行了,更好的做法是事先将所有功能代码全部加密,在异常处理函数中现解密现执行,这样,
静态反编译也摸会不着头脑。不多说废话了,请看例子。
;**********************************************************
;结构化异常处理的单步应用例程
;本例中多处使用了参数 CONTEXT,注意一下
;也就时说,在异常处理程序中可以通过改变 CONTEXT
;中的字段的值来修改异常线程中寄存器的值。
;**********************************************************
.386
.MODEL FLAT
include ../INCLUDE/PERELATION.INC
EXTRN MessageBoxA:PROC
EXTRN ExitProcess:PROC
.Data
szTitle DB "标题",0
szMessage1 DB "无可奈何花落去,似曾相识燕归来。",0
szMessage2 DB "无奈朝来寒雨晚来风。自是人生长恨水长东。",0
szMessage3 DB "落花人独立,微雨燕双飞。当时明月在,曾照彩云归。",0
.Code
_Header:
ASSUME FS:NOTHING
PUSH EBP
;挂接异常处理函数
PUSH OFFSET _ExceptionFilter
PUSH DWORD PTR FS:[0]
MOV FS:[0],ESP
;设置单步异常,将 EFLAGS 寄存器 TF 位置1,触发单步异常
PUSHFD
OR DWORD PTR [ESP],0100H
POPFD
;下一条指令将触发单步异常
;以EAX的值来请求需要执行的功能
;EAX = 0,执行功能1
XOR EAX,EAX
;EAX = 1,执行功能2
INC EAX
;EAX = 2,执行功能3
INC EAX
;清除 SEH 节点,恢复堆栈
POP DWORD PTR FS:[0]
ADD ESP,4
POP EBP
PUSH 0
CALL ExitProcess
;异常处理函数
_ExceptionFilter PROC
MOV EAX,ESP
PUSHAD
;取得参数EXCEPTION_RECORD
MOV ESI,[EAX + 4]
;取得参数CONTEXT
MOV EDI,[EAX + 12]
;分析异常代码
MOV EAX,[ESI].ExceptionCode
;是否单步异常
CMP EAX,080000004H
JE _IsSingleStep
;其他异常,转交系统处理
POPAD
XOR EAX,EAX
INC EAX
RET
;单步异常处理
_IsSingleStep:
;取得EAX寄存器的值
MOV EAX,[EDI].C_Eax
;=0 执行功能1
TEST EAX,EAX
JE _Function_I
;=1 执行功能2
DEC EAX
JZ _Function_II
;=2 执行功能3
DEC EAX
JZ _Function_III
;其他,直接退出
JMP _Filter_Exit
_Function_I:
;显示 szMessage1
PUSH MB_OK
PUSH OFFSET szTitle
PUSH OFFSET szMessage1
PUSH NULL
CALL MessageBoxA
;将 TF 置 1,继续触发单步异常
OR [EDI].C_EFlags,0100H
JMP _Filter_Exit
_Function_II:
;显示 szMessage2
PUSH MB_OK
PUSH OFFSET szTitle
PUSH OFFSET szMessage2
PUSH NULL
CALL MessageBoxA
;将 TF 置 1,继续触发单步异常
OR [EDI].C_EFlags,0100H
JMP _Filter_Exit
_Function_III:
;显示 szMessage3
PUSH MB_OK
PUSH OFFSET szTitle
PUSH OFFSET szMessage3
PUSH NULL
CALL MessageBoxA
;结束了,不再触发单步异常
_Filter_Exit:
POPAD
XOR EAX,EAX
RET
_ExceptionFilter ENDP
END _Header
将上面的代码编译连接生成 EXE 文件,试着执行一下,它将连接弹出三个消息框,但是如果用调试器打开
它,那就什么反应也没有就结束了,呵呵,我们的目的已经达到了。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Windows 系统编程初探 (六)结构化异常处理之三:SEH 的简单应用
- Windows 系统编程初探 (四)结构化异常处理之一:SEH的基本原理与进程相关异常处理
- Windows 系统编程初探 (四)结构化异常处理之一:SEH的基本原理与进程相关异常处理
- Windows核心编程----处理结构化异常处理(SEH)和C++提供的异常处理不相同
- Windows 系统编程初探 (二)俗套的 Hello World
- Windows 系统编程初探 (三)栈(Stack)的奥秘
- Windows 系统编程初探 (五)结构化异常处理之二:线程相关异常处理
- Windows 系统编程初探 (三)栈(Stack)的奥秘
- pywin32应用——python在windows下系统编程初步
- Windows异常世界历险记(一)——Windows系统用户级结构化异常处理机制(SEH)的基础知识和Unwind展开操作
- pywin32应用——python在windows下系统编程初步
- 系统钩子应用--如何通过编程实现禁止Windows系统关机?
- Windows 系统调用.COM.微软语言引擎简单应用(C#)
- Windows 系统编程初探 (一)也叫前言
- Windows 系统编程初探 (五)结构化异常处理之二:线程相关异常处理
- Windows 系统编程初探 (二)俗套的 Hello World
- Windows系统编程之进程间通信-异步管道和命名管道
- Struts应用系统案例设计编程讲解(6)
- Nodejs应用GrayLog日志系统初探
- svn的简单介绍及其在windows系统下的安装及使用