Windows异常学习笔记（三）—— VEH&SEH

要点回顾

1. 当用户异常产生后，内核函数KiDispatchException并不是像处理内核异常那样在0环直接进行处理 ，而是修正3环EIP为KiUserExceptionDispatcher函数后就结束了
2. 当线程再次回到3环时，将会从KiUserExceptionDispatcher函数开始执行

分析 KiUserExceptionDispatcher

位置：ntdll.dll

分析 _RtlDispatchException

3环调用了RtlCallVectoredExceptionHandlers
0环中没有调用

_RtlCallVectoredExceptionHandlers

作用：

1. 查找VEH链表(全局链表)，如果有则调用
2. 查找SEH链表(局部链表，在堆栈中)，如果有则调用

VEH（向量化异常处理）

全称：Vectored Exception Handler
描述：全局异常链表，不同的线程共用一个

实验：自定义VEH

编译并运行以下代码

#include 
#include 

typedef PVOID (NTAPI *FnAddVectoredExceptionHandler)(ULONG, _EXCEPTION_POINTERS *);
FnAddVectoredExceptionHandler MyAddVectoredExceptionHandler;

// VEH异常处理只能返回2个值
// EXCEPTION_CONTINUE_EXECUTION 已处理
// EXCEPTION_CONTINUE_SEARCH    未处理

LONG NTAPI VectExcepHandler( PEXCEPTION_POINTERS pExcepInfo)
{
     
	// pExcepInfo->ContextRecord	保存进入异常处理前的线程信息
	// pExcepInfo->ExceptionRecord	保存异常信息
	if( pExcepInfo->ExceptionRecord->ExceptionCode == 0xC0000094 )
	{
     
		::MessageBoxA(NULL, "VEH除0异常触发了", "VEH异常", MB_OK);
		//修改完EIP之后并不是异常处理结束后直接返回，而是通过ZwContinue进行修正
		pExcepInfo->ContextRecord->Eip = pExcepInfo->ContextRecord->Eip+2;
		//pExcepInfo->ContextRecord->Ecx = 1;
		return EXCEPTION_CONTINUE_EXECUTION;
	}
	return EXCEPTION_CONTINUE_SEARCH;
}

int main()
{
     
	//1. 动态获取AddVectoredExceptionHandler函数地址
	HMODULE hMyModule = GetModuleHandle("kernel32.dll");
	MyAddVectoredExceptionHandler = (FnAddVectoredExceptionHandler)GetProcAddress(hMyModule, "AddVectoredExceptionHandler");

	//2. 参数1表示插入到VEH头部，0表示插入到VEH尾部
	MyAddVectoredExceptionHandler(0, (_EXCEPTION_POINTERS *)&VectExcepHandler);

	//3. 构造除0异常
	__asm
	{
     
		xor edx, edx
		xor ecx, ecx
		mov eax, 0x10
		idiv ecx		//EDX:EAX 除以 ECX
	}

	//4. 产生异常，从这里继续
	printf("代码从这里继续执行\n");

	return 0;
}

执行结果：

总结：VEH异常处理流程

1. CPU捕获异常信息
2. 通过KiDispatchException进行分发(EIP=KiUserExceptionDispatcher)
3. KiUserExceptionDispatcher调用RtlDispatchException
4. RtlDispatchException查找VEH处理函数链表 并调用相关处理函数
5. 代码返回到KiUserExceptionDispatcher
6. 调用ZwContinue再次进入0环(ZwContinue调用NtContinue,主要作用就是恢复TRAP_FRAME 然后通过KiServiceExit返回到3环)
7. 线程再次返回3环后，从修正后的位置开始执行

SEH（结构化异常处理）

全称：Structured Exception Handling
描述：局部异常链表，线程相关，位于当前线程的堆栈当中，不同线程不同堆栈
注意：

1. 在0环时，FS指向KPCR，在3环时，FS指向TEB，这两个结构体的第一个成员都指向NT_TIB，NT_TIB第一个成员为ExceptionList，即异常处理链表
2. 在加入VEH时，只需调用系统提供的API即可，但想要构造SEH的话，必须手动在当前线程当中加入这样一个结构，在A线程中加入的SEH不会对B线程产生影响

思考：当将SEH放入堆栈当中之后，什么时候会进行调用？
答案：需要分析RtlDispatchException

分析 RtlDispatchException

EXCEPTION_DISPOSITION __cdecl MyExceptionHandler(
	struct _EXCEPTION_RECORD *ExceptionRecord,	//存储异常信息：类型、产生位置
	void * EstablisherFrame,					//MyException结构体地址
	struct _CONTEXT *ContextRecord,				//结构体，异常发生时各种寄存器的值，堆栈位置等
	void * Dispatchercontext)

实验：构造自定义SEH

编译并运行以下代码：

#include 
#include 

/*
//0环异常处理时讲过这个结构体
typedef struct _EXCEPTION_REGISTRATION_RECORD
{
	struct _EXCEPTION_REGISTRATION_RECORD *Next;
	PEXCEPtiON_ROUTINE Handler;
}
*/

//定义时结构体名字可以不同，但必须遵守这个格式
struct MyException
{
     
	struct MyException *prev;
	DWORD handler;
};

EXCEPTION_DISPOSITION __cdecl MyExceptionHandler(
	struct _EXCEPTION_RECORD *ExceptionRecord,	//存储异常信息：类型、产生位置
	void * EstablisherFrame,					//MyException结构体地址
	struct _CONTEXT *ContextRecord,				//结构体，异常发生时各种寄存器的值，堆栈位置等
	void * Dispatchercontext)
{
     
	if( ExceptionRecord->ExceptionCode == 0xC0000094 )
	{
     
		MessageBoxA(NULL, "SEH除0异常触发了", "SEH异常", MB_OK);
		ContextRecord->Eip = ContextRecord->Eip+2;
		//pExcepInfo->ContextRecord->Ecx = 1;
		return ExceptionContinueExecution;
	}
	return ExceptionContinueSearch;
}

void TestException()
{
     
	DWORD temp;
	
	//插入异常，必须在当前线程的堆栈当中
	//若定义成全局变量则无效
	MyException myException;
	__asm
	{
     
		mov eax, FS:[0]
		mov temp, eax
		lea ecx, myException
		mov FS:[0], ecx
	}
	
	//原来的异常链表中也许有值，因此需要挂上
	myException.prev = (MyException*)temp;
	myException.handler = (DWORD)&MyExceptionHandler;

	//构造除0异常
	__asm
	{
     
		xor edx, edx
		xor ecx, ecx
		mov eax, 0x10
		idiv ecx		//EDX:EAX 除以 ECX
	}

	//处理完成，摘掉异常
	__asm
	{
     
		mov eax, temp
		mov FS:[0], eax
	}

	printf("函数执行完毕\n");
}

int main()
{
     
	TestException();	
	return 0;
}

运行结果：

总结：SEH异常处理流程

1. FS:[0]指向SEH链表的第一个成员
2. SEH的目标结构体必须在当前线程的堆栈中
3. 只有当VEH中的异常处理函数不存在或者不处理才会到SEH链表中查找