_try_finally原理探究后续

入口程序的最后一道防线

这里调用mainCRTStartup()，然后调用入口程序

相当于这里才是一个进程开始执行的地方

这里有一个call调用，跟进去看看

发现有修改fs:[0]的操作，这里就相当于编译器为我们注册了一个异常处理函数

这里到kernel32.dll里面的BaseProcessStart里面看一下，这里有一个注册SEH异常处理函数的操作

线程启动的最后一道防线

可以发现线程也是从kernel32.dll开始的

然后跟进调用

可以发现还是注册了一个异常处理函数

还是去IDA里面看BaseThreadStart函数，发现也注册了一个SEH异常的函数

UnhandledExceptionFilter

相当于编译器为我们生成了一段伪代码

只有程序被调试时，才会存在未处理异常

UnhandledExceptionFilter的执行流程：

SetUnhandledExceptionFilter

如果没有通过SetUnhandledExceptionFilter注册异常处理函数，则程序崩溃

测试代码如下，我自己构造一个异常处理函数callback并用SetUnhandledExceptionFilter注册，构造一个除0异常，当没有被调试的时候就会调用callback处理异常，然后继续正常运行，如果被调试则不会修复异常，因为这是最后一道防线，就会直接退出，起到反调试的效果

直接启动可以正常运行

使用od打开则直接退出

KiUserExceptionDispatcher

只有当前程序处于调试的时候才可能产生未处理异常