Delphi - SEH研究

技术交流,DH讲解.

前几天一个朋友在弄游戏外挂想带NP调试,就像自己来捕获游戏的异常.
好像就要用到SEH这方面的知识.
一起研究了一下,这里看下研究 和 在网上找的资料吧.
SEH就是Structure Exception Handling.结构化异常处理,具体可以看下MSDN.
MSDN在手,走遍天下无敌手.哈哈.
当时先自己看下Delphi 怎么实现try..except..end的吧.我们写段程序然后调试就知道了.

1 2 3 4 5 6 7 8 9 10 11

Procedure TForm1.Button1Click( Sender: TObject ); Var     a: TForm1; Begin     a := Nil;     Try         a.Show;     Except         ShowMessage( '1111' );     End; End;

这样是会发生异常的吧,我们下断点,然后调试的时候ctrl + alt + c进入CPU窗口.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Unit1.pas.38: a := Nil; 00452702 33C0 xor eax,eax Unit1.pas.39: Try 00452704 33D2 xor edx,edx 00452706 55 push ebp 00452707 6821274500 push $00452721 0045270C 64FF32 push dword ptr fs:[edx] 0045270F 648922 mov fs:[edx],esp Unit1.pas.40: a.Show; 00452712 E811B3FFFF call TCustomForm.Show 00452717 33C0 xor eax,eax 00452719 5A pop edx 0045271A 59 pop ecx 0045271B 59 pop ecx 0045271C 648910 mov fs:[eax],edx 0045271F EB14 jmp +$14 00452721 E91E12FBFF jmp @HandleAnyException Unit1.pas.42: ShowMessage( '1111' ); 00452726 B844274500 mov eax,$00452744 0045272B E85C8DFDFF call ShowMessage 00452730 E87715FBFF call @DoneExcept Unit1.pas.44: End;

我们看见了try模块的代码了吧.好的自己来写个函数.

1 2 3 4 5 6 7 8

Procedure SetExceptionProc( Proc: Pointer ); Asm     //将回调函数指针压入堆栈     push eax     //保护 原来的处理函数     push fs:[0]     mov fs:[0],esp End;

你看和Delphi代码里面Try反编译出来的一样吧.
至于为什么要这样写?我也不知道,所以我们现在需要去找资料了.
发生异常时系统的处理顺序(by Jeremy Gordon): 
   1.系统首先判断异常是否应发送给目标程序的异常处理例程,如果决定应该发送,并且目标程序正在被调试,则系统 
   挂起程序并向调试器发送EXCEPTION_DEBUG_EVENT消息.呵呵,这不是正好可以用来探测调试器的存在吗? 
   2.如果你的程序没有被调试或者调试器未能处理异常,系统就会继续查找你是否安装了线程相关的异常处理例程,如果 
   你安装了线程相关的异常处理例程,系统就把异常发送给你的程序seh处理例程,交由其处理. 
   3.每个线程相关的异常处理例程可以处理或者不处理这个异常,如果他不处理并且安装了多个线程相关的异常处理例程, 
可交由链起来的其他例程处理. 
   4.如果这些例程均选择不处理异常,如果程序处于被调试状态,操作系统仍会再次挂起程序通知debugger. 
   5.如果程序未处于被调试状态或者debugger没有能够处理,并且你调用SetUnhandledExceptionFilter安装了最后异 
   常处理例程的话,系统转向对它的调用. 
   6.如果你没有安装最后异常处理例程或者他没有处理这个异常,系统会调用默认的系统处理程序,通常显示一个对话框, 
   你可以选择关闭或者最后将其附加到调试器上的调试按钮.如果没有调试器能被附加于其上或者调试器也处理不了,系统 
   就调用ExitProcess终结程序. 
   7.不过在终结之前,系统仍然对发生异常的线程异常处理句柄来一次展开,这是线程异常处理例程最后清理的机会. 
事实上,当异常发生时,系统给了我们一个处理异常的机会,他首先会调用我们自定义的seh处理例程,当然也包括 
了相关信息,在调用之前,系统把包含这些信息结构的指针压入stack,供我们的异常处理例程调用, 
传递给例程的参数通常是四个,其中只有三个有明确意义,另一个到现在为止还没有发现有什么作用, 
这些参数是:pExcept:DWORD,pErr:DWORD,pContext:DWORD,pDispatch意义如下: 
pExcept: --- EXCEPTION_RECORD结构的指针 
pErr: --- 前面ERR结构的指针 
pContext: --- CONTEXT结构的指针 ,里面都是我们寄存器的值.
pDispatch:---没有发现有啥意义
Delphi里面已经定义好了这些结构体指针了,我就不多说了.
我们来把回调函数写出来吧.

1 2 3 4 5

Function ExceptionProc( pExcept: PExceptionRecord;pError: Pointer;pContxt: PContext;pDispatch: Pointer ): Integer; Stdcall; Begin     ShowMessage( '1111' );     Result:=0; End;

注意是stdcall调用方式,貌似有些资料上面是cdecl.这里我们先不管这么多了.
现在我们看看系统是怎么调用我们回调函数的.
关键的 Win32 数据结构——线程信息块（即 TEB 和 TIB）。
该数据结构的某些域在 Windows NT、Windows 95、Win32s 和 OS/2 平台上是一样的。
TIB 中的第一个 DWORD 是指向线程 EXCEPTION_REGISTRATION 结构的指针。
在 Intel Win32 平台上，FS 寄存器总是指向当前的 TIB。
因此，在 FS:[0]位置，你能找到 EXCEPTION_REGISTRATION 结构的指针。
这里也就解释了 我们SetExceptionProc函数了.
好的我们自己写段代码来测试一下了:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Procedure TestException( ); Begin     //try     SetExceptionProc( @ExceptionProc );     //make a exception     Asm         xor edx,edx         mov [edx],0     End;     //恢复异常     Asm         pop eax         mov fs:[0],eax         add esp,8     End; End; Procedure TForm1.Button2Click( Sender: TObject ); Begin     TestException; End;

测试中恢复异常还是有问题.

终于在CSDN的书呆子的博客上面找到了答案.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92

Program Project2; {$APPTYPE CONSOLE} Uses     SysUtils,     Windows; Type     PExecption_Handler= ^Exception_Handler;     PException_Registration= ^Exception_Registration;     _ExceptionHandler= Record         ExceptionRecord: PExceptionRecord;         SEH: PException_Registration;         Context: PContext;         DispatcherContext: Pointer;     End;     Exception_Handler= _ExceptionHandler;     _ExceptionRegistration= Record         Prev: PException_Registration;         Handler: PExecption_Handler;     End;     Exception_Registration= _ExceptionRegistration; Const     EXCEPTION_CONTINUE_EXECUTION= 0; ///恢复CONTEXT里的寄存器环境，继续执行     EXCEPTION_CONTINUE_SEARCH= 1; ///拒绝处理这个异常，请调用下个异常处理函数     EXCEPTION_NESTED_EXCEPTION= 2; ///函数中出发了新的异常     EXCEPTION_COLLIDED_UNWIND= 3; ///发生了嵌套展开操作     EH_NONE= 0;     EH_NONCONTINUABLE= 1;     EH_UNWINDING= 2;     EH_EXIT_UNWIND= 4;     EH_STACK_INVALID= 8;     EH_NESTED_CALL= 16;     STATUS_ACCESS_VIOLATION= $C0000005; ///访问非法地址     STATUS_ARRAY_BOUNDS_EXCEEDED= $C000008C;     STATUS_FLOAT_DENORMAL_OPERAND= $C000008D;     STATUS_FLOAT_DIVIDE_BY_ZERO= $C000008E;     STATUS_FLOAT_INEXACT_RESULT= $C000008F;     STATUS_FLOAT_INVALID_OPERATION= $C0000090;     STATUS_FLOAT_OVERFLOW= $C0000091;     STATUS_FLOAT_STACK_CHECK= $C0000092;     STATUS_FLOAT_UNDERFLOW= $C0000093;     STATUS_INTEGER_DIVIDE_BY_ZERO= $C0000094; ///除0错误     STATUS_INTEGER_OVERFLOW= $C0000095;     STATUS_PRIVILEGED_INSTRUCTION= $C0000096;     STATUS_STACK_OVERFLOW= $C00000FD;     STATUS_CONTROL_C_EXIT= $C000013A; Var     G_TEST: DWORD; Procedure Log( LogMsg: String ); Begin     Writeln( LogMsg ); End; //看这个回调函数,和我们那个有点儿区别,第二个参数的作用原来是ExceptionRegistration,原来秘密在它身上 Function ExceptionHandler( ExceptionHandler: EXCEPTION_HANDLER ): LongInt; Cdecl; Begin     Result := EXCEPTION_CONTINUE_SEARCH;     If ExceptionHandler.ExceptionRecord.ExceptionFlags= EH_NONE Then     Begin         Case ExceptionHandler.ExceptionRecord.ExceptionCode Of             STATUS_ACCESS_VIOLATION:             Begin                 Log( '发现异常为非法内存访问，尝试修复EBX，继续执行' );                 ExceptionHandler.Context.Ebx := DWORD( @G_TEST );                 Result := EXCEPTION_CONTINUE_EXECUTION;             End;             Else                 Log( '这个异常我无法处理，请让别人处理吧' );             End;     End     Else     If ExceptionHandler.ExceptionRecord.ExceptionFlags= EH_UNWINDING Then         Log( '异常展开操作' );     End;   Begin     Asm     ///设置SEH         XOR EAX, EAX         PUSH OFFSET ExceptionHandler         PUSH FS:[EAX]         MOV FS:[EAX], ESP     ///产生内存访问错误         XOR EBX, EBX         MOV [EBX], 0     ///取消SEH         XOR EAX, EAX     //这里用的这个 而不是我们用的那个pop eax呀..哈哈.一切正常了         MOV ECX, [ESP]         MOV FS:[EAX], ECX         ADD ESP, 8     End;     Readln; End.

牛人拜读了.大家可以去CSDN上面看下.

好了我是DH.大家想了解更多可以看看雪的加密解密 以及 那个 什么软件漏洞分析 书上面都有SEH的章节.

http://www.cnblogs.com/huangjacky/archive/2009/12/09/1620644.html