2. 程式人生 > >逆向分析用戶層異常分發源碼

逆向分析用戶層異常分發源碼

阿新 發佈:2018-05-01
win

#define DISPOSITION_DISMISS 0 #define DISPOSITION_CONTINUE_SEARCH 1 #define DISPOSITION_NESTED_EXCEPTION 2 #define DISPOSITION_COLLIDED_UNWIND 3 #define EH_NONCONTINUABLE 0x01 #define EH_UNWINDING 0x02 #define EH_EXIT_UNWIND 0x04 #define EH_STACK_INVALID 0x08 #define EH_NESTED_CALL 0x10 #define STATUS_NONCONTINUABLE_EXCEPTION 0xC0000025 #define STATUS_INVALID_DISPOSITION 0xC0000026 #define EXCEPTION_CONTINUE_EXECUTION -1 #define PAGE_EXEC_MASK (PAGE_EXECUTE|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY) typedef struct _EXCEPTION_RECORD { DWORD ExceptionCode; DWORD ExceptionFlags; struct _EXCEPTION_RECORD *ExceptionRecord; // var_CW PVOID ExceptionAddress; DWORD NumberParameters; ULONG_PTR ExceptionInformation[15]; } EXCEPTION_RECORD, *PEXCEPTION_RECORD; typedef struct _EXCEPTION_REGISTRATION { struct _EXCEPTION_REGISTRATION* pNext; PEXCEPTION_HANDLER handler; } EXCEPTION_REGISTRATION, *PEXCEPTION_REGISTRATION; typedef struct _VECTORED_EXCEPTION_NODE { LIST_ENTRY ListEntry; PVECTORED_EXCEPTION_HANDLER handler; } VECTORED_EXCEPTION_NODE, *PVECTORED_EXCEPTION_NODE; typedef enum _EXCEPTION_DISPOSITION { ExceptionContinueExecution, ExceptionContinueSearch, ExceptionNestedException, ExceptionCollidedUnwind } EXCEPTION_DISPOSITION; /* 7C97E3FA */ UCHAR LogExceptions = 0; /* 7C97E3C0 */ LIST_ENTRY RtlpCalloutEntryList; /* 7C9805E0 */ RTL_CRITICAL_SECTION RtlpCalloutEntryLock; RTL_CRITICAL_SECTION LdrpLoaderLock; /* 7C90E47C */ /* * 用戶層的異常派發源頭 */ VOID KiUserExceptionDispatcher(__in PCONTEXT ContextRecord, __in PEXCEPTION_RECORD ExceptionRecord) { NTSTATUS Status; // 調用RtlDispatchException函數去派發異常. if (RtlDispatchException(ContextRecord, ExceptionRecord)) { /* 7C90E48E modify the execution context of the current thread to whatever the chosen exception handler gives us */ // 結束異常分發 Status = ZwContinue(ContextRecord, 0); } else { /* 7C90E49A no exception handler found so re-raise the exception for a debugger or the NT exception handler */ // 在此觸發一個異常, 並觸發時最後一個參數傳FALSE,表明這是一個第二次觸發的異常. Status = ZwRaiseException(ExceptionRecord, ContextRecord, FALSE); } /* 7C90E4A5 build an exception record with 20 bytes on the stack, second chance exception? */ PEXCEPTION_RECORD exception = (PEXCEPTION_RECORD) alloca(0x14); exception->ExceptionCode = Status; exception->ExceptionFlags = 1; exception->ExceptionRecord = ContextRecord; exception->NumberParameters = 1; return RtlRaiseException(exception); } LPVOID RtlpGetRegistrationHead() { _asm mov eax , fs:[0] _asm ret } /* 7C92A970 如果異常被處理返回TRUE */ BOOLEAN RtlDispatchException(PCONTEXT ContextRecord, PEXCEPTION_RECORD ExceptionRecord) { BOOLEAN ret = 0; LPVOID StackBase, StackLimit; PEXCEPTION_REGISTRATION head; DWORD kProcess_Flags; DWORD dispatch, highest; EXCEPTION_RECORD exRec; // 先將異常交給VEH處理. 如果能夠處理,則結束異常分發 if (RtlCallVectoredExceptionHandlers(ExceptionRecord, ContextRecord)) { /* 7C95010A */ ret = 1; } else { /* 否則交給SEH處理 */ /* 7C92A991 */ RtlpGetStackLimits(&StackLimit, &StackBase); // 獲取SEH鏈表頭節點 /* 7C92A99F */ head = (PEXCEPTION_REGISTRATION)RtlpGetRegistrationHead(); highest = 0; while (head != (PEXCEPTION_REGISTRATION) -1) { // 判斷獲取出來的節點的地址是否正確 if (head < StackLimit || head + sizeof(EXCEPTION_REGISTRATION) > StackBase || head & 3) { ExceptionRecord->ExceptionFlags |= EH_STACK_INVALID; goto exit; } // 判斷異常處理函數的地址是否正確 if (head->handler >= StackLimit && head->handler < StackBase) { ExceptionRecord->ExceptionFlags |= EH_STACK_INVALID; goto exit; } // 判斷異常處理函數是否為有效處理函數 if (!RtlIsValidHandler(head->handler)) { /* 7C92A336 */ ExceptionRecord->ExceptionFlags |= EH_STACK_INVALID; goto exit; } else if (LogExceptions) { /* 7C950113 */ RtlpLogExceptionHandler(ContextRecord, ExceptionRecord, 0, head, 0x10); } // 執行SEH的 _except_handler4() hret = RtlpExecuteHandlerForException(ContextRecord, head, ExceptionRecord, &dispatch, head->handler); if (LogExceptions) { /* 7C950129 there is a second parameter to this function that I don‘t understand yet */ RtlpLogLastExceptionDisposition(highest, hret); } /* 7C92AA1E */ if (head == NULL) { ExceptionRecord->ExceptionFlags &= ~EH_NESTED_CALL; } /* 7C92AA27 */ if (hret == DISPOSITION_DISMISS) { if (ExceptionRecord->ExceptionFlags & EH_NONCONTINUABLE) { /* 7C950181 */ exRec.ExceptionCode = STATUS_NONCONTINUABLE_EXCEPTION; exRec.ExceptionFlags = EH_NONCONTINUABLE; exRec.ExceptionRecord = ExceptionRecord; exRec.NumberParameters = 0; RtlRaiseException(&exRec); /* 7C92A31C a little fudging with this block */ if (ExceptionRecord->ExceptionFlags & EH_STACK_INVALID) { goto exit; } } else { /* 77EDBD64 */ ret = 1; break; } } // 如果SEH過濾函數返回的是搜索其它過濾函數處理 else if (hret == DISPOSITION_CONTINUE_SEARCH) { /* 7C92A31C a little fudging with this block */ if (ExceptionRecord->ExceptionFlags & EH_STACK_INVALID) { goto exit; } } else if (hret == DISPOSITION_NESTED_EXCEPTION) { /* 7C950169 */ ExceptionRecord->ExceptionFlags |= EH_NESTED_CALL; if (dispatch > highest) { highest = dispatch; } } else { /* 7C950147 */ exRec.ExceptionCode = STATUS_INVALID_DISPOSITION; exRec.ExceptionFlags = EH_NONCONTINUABLE; exRec.ExceptionRecord = ExceptionRecord; exRec.NumberParameters = 0; RtlRaiseException(&exRec); } /* 7C92A326 */ head = head->pNext; } } exit: /* 7C92AA43 */ return ret; } /* 7C92A934 */ // 調用VEH函數 BOOLEAN RtlCallVectoredExceptionHandlers(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT ContextRecord) { BOOLEAN ret = FALSE; struct { PEXCEPTION_RECORD eRec; PCONTEXT cRec; } Rec; PVECTORED_EXCEPTION_NODE veh; PVECTORED_EXCEPTION_HANDLER handler; DWORD disposition if (RtlpCalloutEntryList.Flink == &RtlpCalloutEntryList) { return FALSE; } eRec = ExceptionRecord; cRec = ExceptionRecord; // 進入臨界區 RtlEnterCriticalSection(&RtlpCalloutEntryLock); // 開始遍歷VEH的雙向鏈表 for (veh = (PVECTORED_EXCEPTION_NODE) RtlpCalloutEntryList.Flink); veh != (PVECTORED_EXCEPTION_NODE) RtlpCalloutEntryList; veh = (PVECTORED_EXCEPTION_NODE) veh->ListEntry.Flink) { // 解密處理函數地址 handler = RtlDecodePointer(veh->handler); // 調用處理函數 disposition = handler(&Rec); // 判斷處理函數是否處理了異常.如果是則結束循環. // 如果沒有,則繼續找到下一個處理函數. if (disposition == EXCEPTION_CONTINUE_EXECUTION) { // 將返回值設置為TRUE. ret = 1; break; } } // 離開臨界區 RtlLeaveCriticalSection(&RtlpCalloutEntryLock); return ret; } /* 7C9033DC */ VOID RtlpGetStackLimits(LPVOID **StackLimit, LPVOID **StackBase) { PTEB teb = _TEB; // fs:18h *StackLimit = teb->NtTib->StackLimit; *StackBase = teb->NtTib->StackBase; return; } /* 7C92AA50 */ BOOLEAN RtlIsValidHandler(PEXCEPTION_HANDLER handler) { DWORD table_sz; LPVOID safeseh_table, base_addr; DWORD ret, result_len, exec_flags, high, low; MEMORY_BASIC_INFORMATION mbi; safeseh_table = RtlLookupFunctionTable(handler, &base_addr, &table_sz); if (safeseh_table == NULL || table_sz == 0) { /* 7C9500D1 ProcessExecuteFlags*/ if (ZwQueryInformationProcess(INVALID_HANDLE_VALUE, 22, &exec_flags, 4, NULL) >= 0) { /* 7C92CF94 0x10 = ExecuteDispatchEnable */ if (!(exec_flags & 0x10)) { return 1; } } /* 7C935E8E */ if (NtQueryVirtualMemory(INVALID_HANDLE_VALUE, handler, NULL, &mbi, sizeof(MEMORY_BASIC_INFORMATION), &result_len) < 0) { return 1; } /* 7C935EA9 */ if (!(mbi.Protect & PAGE_EXEC_MASK)) { RtlInvalidHandlerDetected(handler, -1, -1); return 0; } else if (mbi.Type != SEC_IMAGE) { return 1; } RtlCaptureImageExceptionValues(mbi.AllocationBase, &safeseh_table, &table_sz); /* 7C935ED0 */ if (var_10 == NULL || table_sz == 0) { return 1; } return 0; } else if (safeseh_table == (LPVOID) -1 && table_sz == -1) { return 0; } /* 7C9500A6 */ if (table_sz < 0) { RtlInvalidHandlerDetected(handler, safeseh_table, table_sz); return 0; } rel_addr = handler - base_addr; high = table_sz; low = 0; /* 7C9500B1 binary search through SafeSEH table */ do { idx = (high + low) / 2; if (rel_addr < safeseh_table[idx]) { if (idx == 0) { RtlInvalidHandlerDetected(handler, safeseh_table, table_sz); return 0; } high = idx - 1; if (high < low) { RtlInvalidHandlerDetected(handler, safeseh_table, table_sz); return 0; } } else if (rel_addr > safeseh_table[idx]) { low = idx + 1; if (high < low) { RtlInvalidHandlerDetected(handler, safeseh_table, table_sz); return 0; } } else { break; } } while(1); return 1; } /* 7C92AAA4 */ LPVOID RtlLookupFunctionTable(PEXCEPTION_HANDLER handler, DWORD *base_addr, DWORD *table_sz) { MEMORY_BASIC_INFORMATION mbi; LPVOID safeseh_table, base; if (LdrpInLdrInit && RtlTryEnterCriticalSection(&LdrpLoaderLock) == 0) { /* 7C92DD29 3 = MemoryBasicVlmInformation */ if (NtQueryVirtualMemory((HANDLE) -1, handler, 3, &mbi, sizeof(MEMORY_BASIC_INFORMATION), NULL) < 0) { return NULL; } else if (mbi.Type != SEC_IMAGE) { return NULL; } base = mbi.BaseAddress; /* 7C92DD51 */ RtlCaptureImageExceptionValues(base, &safeseh_table, table_sz); } else { if (_TEB != NULL) { /* 7C92AAD9 */ PLDR_MODULE node = _PEB->Ldr->InLoadOrderModuleList.Flink if (_PEB->Ldr != 0 && node != NULL) { while (node != &_PEB->Ldr->InLoadOrderModuleList) { /* 7C92AB00 */ if (handler < node->BaseAddr) { node = node->InLoadOrderModuleList.Flink; continue; } if (handler >= node->BaseAddr + node->SizeOfImage) { node = node->InLoadOrderModuleList.Flink; continue; } /* 7C92AB14 */ base = node->BaseAddr; RtlCaptureImageExceptionValues(base, &safeseh_table, table_sz); if (safeseh_table == NULL && NtDllBase != NULL && (base = RtlNtImageHeader(NtDllBase)) != NULL) { if (header > base && header < base + ((PIMAGE_NT_HEADER) base)->OptionalHeaders.SizeOfImage) { /* 7C950D7D */ RtlCaptureImageExceptionValues(base, &safeseh_table, table_sz); } } break; } } } /* 7C92AB2C */ if (LdrpInLdrInit) { RtlLeaveCriticalSection(&LdrpLoaderLock); } } *base_addr = base; return safeseh_table; }

逆向分析用戶層異常分發源碼

相關推薦

逆向分析異常發源

win #define DISPOSITION_DISMISS 0 #define DISPOSITION_CONTINUE_SEARCH 1 #define DISPOSITION_NESTED_EXCEPTION 2 #define DISPOSITION_COLLI

逆向分析windows異常發源

win #define DISPOSITION_DISMISS 0 #define DISPOSITION_CONTINUE_SEARCH 1 #define DISPOSITION_NESTED_EXCEPTION 2 #define DISPOSITION_COLLI

perf-perf stat分析

結構 imp rod eno buildid prepare argv === pen perf_event 源碼分析 前言 簡單來說,perf是一種性能監測工具,它首先對通用處理器提供的performance counter進行編程,設定計數器閾值和事件,然後性能計數器就

字符設備驅動ioctl實現內核通信

default eof 建設 code gcc app std size smo 測試代碼實現 memdev.h #ifndef _MEMDEV_H_ #define _MEMDEV_H_ #include<linux/ioctl.h> #ifndef MEM

數據模型圖解分析(訂單商品)

items ora 設置 code ems image item http 分享 對訂單商品數據模型進行分析 數據模型分析思路 1 每張表記錄的數據內容     分模塊對每張表記錄的內容進行熟悉,相當於你學習系統需求(功能)的過程。 2 每張表重要字段設置  

內核通信之Netlink源分析-內核通信原理3

light needed 其他 oid .cn wal sock irq struct 2017-07-06 上節主講了用戶層通過netlink和內核交互的詳細過程,本節分析下用戶層接收數據的過程…… 有了之前基礎知識的介紹,用戶層接收數據只涉及到一個核心調用read

BAT解密:互聯網技術發展之路(8)- 技術剖析

用戶管理 相同 開源 大廠 cookie alt 之間 平臺 之路 互聯網業務用戶層技術主要包括:用戶管理、消息推送、存儲雲、圖片雲。用戶管理互聯網業務的一個典型特征就是通過互聯網將眾多分散的用戶連接起來。因此用戶管理是互聯網業務不可缺少的一部分。略微大一點的互聯網業務

頻次布、新增留存、活躍留存

sql serverselect * from a WHERE a.field1 NOT IN (select field1 from b)select * from a WHERE NOT EXISTS (select 1 from b where a.field1 = b.field1)表a的條件加在最後

HanLP自定義詞典源分析

自然語言 insert 理解 是否 issues 規則 tro combine 兩個 HanLP用戶自定義詞典源碼分析 1. 官方文檔及參考鏈接 關於詞典問題Issue,首先參考:FAQ 自定義詞典其實是基於規則的分詞,它的用法參考這個issue 如果有些數量詞、字母詞需

自定義的靈活性串口通信協議

color 取數據 borde 代碼 pack 心得 常見 定義 如果 想不到第一次接觸串口就要去寫一個自定義的靈活性串口通信協議,所以在這裏記錄一下自己的心得,有什麽不合理的地方還請大佬們指出。 先說明這裏提到的靈活性其實也是相對來說的,並不是說明數據包都可以定義。

NAS日誌分析指南

日誌配置 流量 關註 name 方便 結合 col 次數 計算 摘要: NAS“日誌分析”新功能,旨在幫助用戶更好地監控文件系統資源。通過該功能,用戶可以方便地跟蹤系統性能問題,記錄文件系統上的數據操作情況,審計文件刪除等相關操作,有效監控各區域內文件系統資源大盤和明細信息

回顧驅動與通信

註冊表 程序 size ems driver symbol array proc stack 環境:win10 64位先關簽名 bcdedit.exe /set nointegritychecks on 1。緩沖區方式讀寫 橋梁是用一個buf將數據存儲在Associate

APC隊列使用

對象 添加 UNC winapi 核心 使用 value 是否 turn 一 參考 https://docs.microsoft.com/en-us/windows/desktop/api/processthreadsapi/nf-processthreadsapi-que

修改peb實現隱藏一些東西

enume war bre register state sub reserve img _id #include "stdafx.h" #include <string> #include <Windows.h> #include <Shl

UEBA 學術界研究現狀——行為異常檢測思路:序列挖掘prefixspan,HMM,LSTM/CNN,SVM異常檢測,聚類CURE算法

改進 處理 業務 class 動態 大型 clas 基於用戶 模式 論文 技術分析《關於網絡分層信息泄漏點快速檢測仿真》 "1、基於動態閾值的泄露點快速檢測方法,采樣Mallat算法對網絡分層信息的離散采樣數據進行離散小波變換;利用滑動窗口對該尺度上的小波系數進行加窗處理,

180120 login 登錄的代

use odin lba lis 指定 常見 文件的 split error import getpass    #導入getpass 內置模塊 #定義用戶名、密碼列表 allow_user_list = []    #定義一個空列表 ,名字是allow... pass

Java開源生鮮電商平臺-表的設計(源可下載)

運行 講解 角色 用戶 我想 strong bsp 做了 電商平臺 Java開源生鮮電商平臺-用戶表的設計(源碼可下載) 說明:由於該系統屬於B2B平臺,不設計到B2C的架構。 角色分析:買家與賣家. 由於買家與賣家所填寫的資料都不一樣,需要建立兩站表進行維護,

asp微信公眾號獲取地址信息源,可以獲取省市縣及坐標

menu menus ont LIDS gcj02 地址 上傳 make ret ============================================= 互相學習電話微信:18611436777(加微信註明事由) <!--#include fi

view事件發源理解

click spa 展開 進入 attrs eve 探索 代碼 ont   有些困難無法逃避,沒辦法,那就只有去解決它。view事件分發對我而言是一塊很難啃的骨頭,看了《安卓開發藝術探索》關於這個知識點的講解,看了好幾遍,始終不懂,最終通過調試分析結果,看博客,再回過頭看,

Touch事件發源解析

ldr visible lag callback before pda 進入 用戶 art ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 以下源碼基於Gingerbread 2.3.7 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1、先看Vi