VEH&SEH异常详解

因为Trap_Frame结构在3环的原因,会有一个从0环临时返回3环的过程,所以在用户层的异常执行过程相比于内核层更加复杂,我们继续探究。

0x00 前言

因为Trap_Frame结构在3环的原因,会有一个从0环临时返回3环的过程,所以在用户层的异常执行过程相比于内核层更加复杂。

0x01 VEH

首先定位到KiUserExceptionDispatcher函数,这里首先通过RtlDispatchException来找到异常处理的函数

image-20220328111335748.png

经过异常处理之后调用ZwContinue重新进入0环,这里是因为Trap_Frame结构被修改了,这里需要重新进入0环把新的值传入

image-20220328111820754.png

如果这里异常没有处理成功会再次分发异常

image-20220328113310567.png

RtlDispatchException

这里RtlDispatchException是分发异常的函数,0环跟3环是共用的,但是有一些细节是不同的,我们跟进去看看

image-20220328113755960.png

首先看一下3环的RtlDispatchException里面有一个RtlCallVectoredExceptionHandlers

image-20220328114206798.png

但是在0环的RtlDispatchException里面是没有这个函数的

image-20220328114346379.png

跟进RtlCallVectoredExceptionHandlers,首先找全局链表(VEH链表),存储了很多个异常处理函数,如果在全局链表里面没有找到,就会继续往下找局部链表(SEH链表)

image-20220328114831441.png

我们尝试用代码来实现VEH

// VEH1.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>

typedef PVOID (NTAPI *FnAddVectoredExceptionHandler)(ULONG, _EXCEPTION_POINTERS *);

FnAddVectoredExceptionHandler MyAddVectoredExceptionHeader;

// UEH异常处理函数只能返回2个值
// EXCEPTION_CONTINUE_EXECUTION 已处理
// EXCEPTION_CONTINUE_SEARCH 未处理

LONG NTAPI VectExceptionHandler( PEXCEPTION_POINTERS pExcepInfo )
{
    ::MessageBoxA(NULL, "VEH Function run", "VEH error", MB_OK);

    if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xC0000094)
    {
        //pExcepInfo->ContextRecord->Eip = pExcepInfo->ContextRecord->Eip + 2;
        pExcepInfo->ContextRecord->Ecx = 1;

        return EXCEPTION_CONTINUE_EXECUTION;
    }

    return EXCEPTION_CONTINUE_SEARCH;

}

VOID VEH()
{
    // 动态获取AddUectoredExceptionHandler函数地址
    HMODULE hMyModule = GetModuleHandle("kernel32.dll");
    MyAddVectoredExceptionHeader = (FnAddVectoredExceptionHandler)::GetProcAddress(hMyModule, "AddVectoredExceptionHandler");

    // 参数1表示插入VEH链的头部、0表示插入到UEH链的尾部
    MyAddVectoredExceptionHeader( 0, (_EXCEPTION_POINTERS *)&VectExceptionHandler );

    // 构造除0异常
    __asm
    {
        xor edx,edx
        xor ecx,ecx
        mov eax,0x10
        idiv ecx    // EDX:EAX 除以 ECX
    }

    printf("veh_code run here again");
}

int main(int argc, char* argv[])
{
    VEH();
    getchar();

    return 0;
}

AddVectoredExceptionHandler

这里有几个注意的点,首先是注册异常处理函数,使用到AddVectoredExceptionHandler,这个函数是在kernel32.dll里面的,在xp以前的版本里面是没有的,所以需要动态获取

PVOID AddVectoredExceptionHandler(
  ULONG                       First,
  PVECTORED_EXCEPTION_HANDLER Handler
);

第二个要注意的点就是veh是一个链表,第一个参数表示插入异常的位置,1的话就是插入到链表的头部,0的话就是插入到链表的尾部

image-20220328144105354.png

第三个点就是异常处理的指针指向两个结构,一个是ContextRecord,这个结构里面存储的是所有寄存器的值,另外一个就是ExceptionRecord,这个结构里面存储的就是异常的具体信息

image-20220328145137446.png

第四个点就是因为构造的是ecx为0,那么这里异常处理函数就可以修改eip指向的地址或者修改ecx的值为1即可

image-20220328145326738.png

看下效果,首先是执行了我们自己注册的异常处理函数里面的MessageBoxA,然后程序正常下向下执行

image-20220328145408530.png

image-20220328145421162.png

VEH异常流程

1.CPU捕获异常信息

2.通过KiDispatchException进行分发(EIP=KiUserExceptionDispatcher)

3.KiUserExceptionDispatcher调用RtlDispatchException

4.RtlDispatchException查找VEH处理函数链表 并调用相关处理函数

5.代码返回到KiUserExceptionDispatcher

6.调用ZwContinue再次进入0环(ZwContinue调用NtContinue,主要作用就是恢复TRAP_FRAME 然后通过KiServiceExit返回到3环)。

7.线程再次返回3环后,从修正后的位置开始执行

0x02 SEH

SEH就是一个跟0环异常处理结构类似的链表

image-20220328161015012.png

首先看一下RtlpGetStackLimits

image-20220328160146709.png

取出了fs:[8]fs:[4]

image-20220328160159015.png

我们知道fs:[0]指向的是_NT_TIB结构,那么fs:[4]对应的就是StackBasefs:[8]对应的就是StackLimit,即基址和界限

然后再拿到fs:[0]

image-20220328160704780.png

image-20220328160722882.png

拿到一系列的参数之后,会首先进行一系列的判断

image-20220328160901600.png

RtlpExecuteHandlerForException

最后调用RtlpExecuteHandlerForException处理异常

image-20220328160907800.png

SEH异常的实现

// SEH1.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>

// ring0
/*
typedef struct _EXCEPTION_REGISTRATION_RECORD {
        struct _EXCEPTION_REGISTRATION_RECORD *Next;
        PEXCEPTION_ROUTINE Handler;
    } EXCEPTION_REGISTRATION_RECORD;
*/

struct MyException
{
    struct MyException *prev;
    DWORD Handle;
};

EXCEPTION_DISPOSITION __cdecl MyException_Handler(
    struct _EXCEPTION_RECORD *ExceptionRecord,  // ExceptionRecord 存储异常信息 什么类型异常产生位置
    void* EstablisherFrame,     // MyException结构体地址
    struct _CONTEXT *ContextRecord,     // Context结构体 异常发生时的各种寄存器值堆栈位置等
    void* DispatcherContext)
{
    ::MessageBoxA(NULL, "SEH Function", "SEH error", MB_OK);

    if (ExceptionRecord->ExceptionCode == 0xC0000094)
    {
        ContextRecord->Eip = ContextRecord->Eip + 2;
        return ExceptionContinueExecution;
    }

    return ExceptionContinueSearch;
}

void ExceptionTest()
{
    DWORD temp;

    MyException myException;

    __asm
    {
        mov eax,FS:[0]
        mov temp,eax
        lea ecx,myException
        mov FS:[0],ecx
    }
    myException.prev = (MyException*)temp;
    myException.Handle = (DWORD)&MyException_Handler;

    __asm
    {
        xor edx,edx
        xor ecx,ecx
        mov eax,0x10
        idiv ecx
    }

    // 摘除链表
    __asm
    {
        mov eax,temp
        mov FS:[0],eax
    }

    printf("SEH run again");
}

int main(int argc, char* argv[])
{
    ExceptionTest();
    getchar();
    return 0;
}

_EXCEPTION_REGISTRATION

首先定义一个异常处理_EXCEPTION_REGISTRATION结构

image-20220328163927041.png

然后定义异常处理函数

EXCEPTION_DISPOSITION __cdecl MyException_Handler(
    struct _EXCEPTION_RECORD *ExceptionRecord,  // ExceptionRecord 存储异常信息 什么类型异常产生位置
    void* EstablisherFrame,     // MyException结构体地址
    struct _CONTEXT *ContextRecord,     // Context结构体 异常发生时的各种寄存器值堆栈位置等
    void* DispatcherContext)

image-20220328164040189.png

然后在当前线程里面声明结构体,把自己的结构体挂到链表里面,并定义Next指针指向下一个结构体

image-20220328164133895.png

然后构造除0异常,然后将我们自己定义的结构体从链表里面摘除

image-20220328164256525.png

运行结果如下

image-20220328164336804.png

image-20220328164343143.png

总结

1.FS:[0]指向SEH链表的第一个成员

2.SEH的异常处理函数必须在当前线程的堆栈中

3.只有当VEH中的异常处理函数不存在或者不处理才会到SEH链表中查找

SEH异常流程

1.RtlpGetStackLimits取出_NT_TIB结构的fs:[4]fs:[8],那么fs:[4]对应的就是StackBasefs:[8]对应的就是StackLimit,即基址和界限

2.RtlpGetRegistrationHead取出_NT_TIB结构的fs:[0],取出ExceptionList

3.然后调用RtlpExecuteHandlerForException处理异常

0x03 SEH编译器扩展

编译器可以直接帮我们进行简化挂入链表、异常过滤、执行异常处理程序的操作

image-20220328200408099.png

在过滤表达式处只能有以下三种情况

1) EXCEPTION_EXECUTE_HANDLER(1) 执行except代码 

2) EXCEPTION_CONTINUE_SEARCH(0) 寻找下一个异常处理函数

3) EXCEPTION_CONTINUE_EXECUTION(-1) 返回出错位置重新执行 

而过滤表达式可以有3种写法

1) 直接写常量值 

2) 表达式

3) 调用函数

常量值

// SEH2.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>

void ExceptionTest()
{
    _try
    {
        _asm
        {
            xor edx,edx
            xor ecx,ecx
            mov eax,0x10
            idiv ecx
        }
    }
    _except(EXCEPTION_EXECUTE_HANDLER)
    {
        printf("SEH function run");
    }
}

int main(int argc, char* argv[])
{
    ExceptionTest();

    getchar();
    return 0;
}

image-20220328201627389.png

表达式

使用GetExceptionCode得到异常码

// SEH3.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>

void ExceptionTest()
{
    _try
    {
        _asm
        {
            xor edx,edx
            xor ecx,ecx
            mov eax,0x10
            idiv ecx
        }
    }
    _except(GetExceptionCode() == 0xC0000094?EXCEPTION_EXECUTE_HANDLER:EXCEPTION_CONTINUE_SEARCH)
    {
        printf("SEH function run");
    }
}

int main(int argc, char* argv[])
{
    ExceptionTest();

    getchar();
    return 0;
}

image-20220328201811639.png

调用函数

使用GetExceptionInformation得到指向异常处理结构的指针

// SEH4.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>

int ExceptFilter(LPEXCEPTION_POINTERS pExceptionInfo)
{
    pExceptionInfo->ContextRecord->Ecx = 1;
    return EXCEPTION_CONTINUE_EXECUTION;    // -1 返回出错位置重新执行
}

void ExceptionTest()
{
    _try
    {
        _asm
        {
            xor edx,edx
            xor ecx,ecx
            mov eax,0x10
            idiv ecx
        }
    }
    _except(ExceptFilter(GetExceptionInformation()))
    {
        printf("SEH function run");
    }
}

int main(int argc, char* argv[])
{
    ExceptionTest();

    getchar();
    return 0;
}

这里先修改值之后回到异常发生的地方重新执行,没有异常了,然后就走到getchar()的地方

image-20220328202630875.png

  • 发表于 2022-04-25 09:44:17
  • 阅读 ( 7470 )
  • 分类:漏洞分析

0 条评论

请先 登录 后评论
szbuffer
szbuffer

30 篇文章

站长统计