从本节開始,我们就要研究一些略微高级点的话题了,如同在1.2节中看到的,Windows中为抵抗栈溢出做了非常多保护性的检查工作,编译的程序默认开启了这些保护。

假设我们不能绕过这些保护。那么我们的Shellcode也就是一个玩具而已,什么都做不了。

我们从SEH(结构化异常处理)開始。

这篇文章讲SEH简洁易懂:http://www.securitysift.com/windows-exploit-development-part-6-seh-exploits/

因此。本文的前面部分就直接对其进行翻译了,后面动手的部分再结合自己的样例进行,由于动手实践还是用自己写的代码好。

(1)什么是结构化异常处理?

Windows下的硬件和软件异常统一採用结构化异常处理(SEH)机制。异常处理结构通常包含在一个try/except或try/catch代码块中。

例如以下:

/*****************************************************************************/
__try {
// 受保护的代码区域
...
}
__except (exception filter) {
// 异常处理代码
...
}
/*****************************************************************************/

含义非常easy,try保护的代码一定会运行。在发生指定的错误/异常之后,就运行except中的代码,进行异常处理。异常处理器(exception filter)就是告诉操作系统对指定的错误/异常运行什么操作。

异常处理器(exception filter)可能由应用程序实现(通过__try/__except结构),或者使用系统自带的。

由于错误的种类非常多(除0。越界等),相应的异常处理器也有非常多。

所有种类的异常处理器,包含应用程序实现和操作系统实现的,都由Windows系统通过一些数据结构和函数进行统一管理。

(2)SEH的主要组成

每一个异常处理器都相应一个EXCEPTION_REGISTRATION_RECORD结构,该结构例如以下:



这些异常处理器的EXCEPTION_REGISTRATION_RECORD结构连接在一起。组成一个SEH链表。

EXCEPTION_REGISTRATION_RECORD结构中的第一个成员Next指向SEH链表中的下一个成员,因此,你能够通过Next来遍历SEH链。

EXCEPTION_REGISTRATION_RECORD结构中的第二个成员Handler为一个异常处理函数的函数指针,该异常处理函数定义例如以下:



函数的第一个參数指向一个_EXCEPTION_RECORD结构。该结构保存了某个异常的相关信息,包含异常码,异常发生的地址。參数的个数等,例如以下:



_except_handler异常处理函数使用该结构中的信息(还有ContextRecord 參数中的寄存器信息)来推断该异常是否能被SEH链中的某个异常处理器处理。EstablisherFrame 參数也非常重要,后面会说到。

_except_handler异常处理函数返回EXCEPTION_DISPOSITION。假设为ExceptionContinueExecution,表示该异常是否已经被成功处理,假设为ExceptionContinueSearch,表示当前异常处理器无法处理该异常,异常移交给SEH链中的下一个异常处理器。

那么,异常处理机制是怎样使用这些结构和函数来进行异常处理的呢?当一个异常发生的时候,操作系统从SEH链头部開始,检查第一个_EXCEPTION_REGISTRATION_RECORD(即异常处理器)的异常处理函数,看它是否能处理该异常(通过ExceptionRecord 和ContextRecord參数)。

假设不能。则移动到下一个_EXCEPTION_REGISTRATION_RECORD。继续检查,直到找到合适的异常处理器。

Windows在SEH链的末尾放置了一个默认的通用异常处理器。保证异常肯定能被处理。

假设使用默认的异常处理器处理,你一般会看到“程序遇到了一个问题。须要关闭…”之类的信息。

每一个线程有它自己的SEH链。操作系统通过TEB中的ExceptionList成员定位SEH链的起始地址。TEB位于FS:[0]。以下为SEH链的一个示意图(图中简化了_EXCEPTION_REGISTRATION_RECORD结构):



图47 Windows SEH链

上图不是SEH机制的所有,可是足够你理解主要的原理。

如今,我们用一个演示样例来看一看SEH机制。

好了,翻译到此为止。可是我后面所写的内容基本也就是原文的内容,仅仅是我换了自己的演示样例。这样便于实际操作。基本上也就相当于翻译。我们找出1.2节中的example_2(具有栈溢出漏洞的那个程序),来看看它的SEH是什么样的。在Immunity Debugger中选择例如以下菜单:



图48 在Immunity Debugger查看SEH链

就可以查看SEH链。我们看一看example_2的SEH链:



图49 example_2的SEH链

SEH的try/except或try/catch代码块实际上是宏定义的一段代码。将我们自己的代码包裹起来,因此,我们能够从当前线程的栈上来找到SEH链,对比上面的地址,找到它:



图50 栈上的SEH链

对比前面讲述的EXCEPTION_REGISTRATION_RECORD结构。Next成员为链中的下一个异常处理器地址。为0xFFFFFFFF表示已经结尾。即最后的一个默认异常处理器。0x7c839ac0为该默认异常处理器的异常处理函数地址。

回看example_2的代码。我们并未定义自己的异常处理块(try/except或try/catch)。因此。程序自带一个默认异常处理器。前面说到,每一个线程都有一个异常处理链,而线程是动态变化的。随着指令流的进行。运行不同的代码块。调用函数等。那么,程序运行起来又是什么样子的呢?

为了回答上面的问题,我们再来看一看。这个程序有输入字符串的操作(gets),因此,我们让程序运行。到达等待输入的时刻。然后再来看SEH链:



图51 暂停于gets时刻的SEH链

好大一串。

当中有系统的,有VS2008的,另一个我们“自己”的,最后才是系统默认的。这些异常都是用来干嘛的?如今,我们把断点设在调用gets函数之后:



图52

在看此时的SEH链:



图53

看来,刚刚我们应该是看错了位置。

我们前面是在gets函数等待输入的时候看的。也就是说停在了gets函数内部,而gets函数由编译器实现,因此。它内部包装有自己的异常处理。这就是图51中为什么我们看到了那么多系统和编译器提供的异常处理函数。看来。SEH链是在动态变化的,进入了包装有异常处理的代码,就会在SEH链中加入异常处理器,退出其代码块之后,又会从SEH链中删除异常处理器。

这就是为什么说SEH链是与线程相应的。

可是,既然我们自己未定义异常处理,这里为什么还多出来一个?这个后面再说。

接下来,我们给example_2的程序包装一个异常处理块,然后再看看SEH链的样子:

/*****************************************************************************/
// example_10: 演示SEH链
#include <Windows.h>
#include <stdio.h> void get_print()
{
char str[11]; __try
{
gets(str);
printf("%s\n", str);
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
//
}
} int main()
{
get_print(); return 0;
}
/*****************************************************************************/

最初暂停的点:



图54

最初还是仅仅有一个SEH链。相同在调用gets之后的语句暂停:



图55 example_10的SEH链

和图53对比。SEH链中多了一个节点,由于我们自己加入了一个异常处理块。如今另一个疑问,多出来的那个是什么?依照SEH链的原理,局部的应该位于前面。因此,第一个是我们自定义的。那第二个是哪里来的呢?(注意不要依据地址来和图53比較进行推断,如今已经是一个不同的程序了)它的异常处理函数地址为0x0041104B,明显位于本模块中。我们把断点设置调用 get_print()之前。也就是main函数中,来看:



图56

这个时候。第二个异常处理器就已经出现了,因此,这个异常处理器是main函数的,VC++实现main函数的时候也包装了一个异常处理块。你能够自己去找到是何时设置的。

我们来看看两个异常处理函数的地址,分别为0x411046和0x41104B:



图56



图57

第一个指向MSVCR90D.dll中的_except_handler3,第二个终于指向MSVCR90D.dll中的_except_handler4_common。这是VC++对SEH的实现。并不是使用原生的SEH,要理解这个_except_handler3和_except_handler4_common,你须要这篇文章:https://www.microsoft.com/msj/0197/exception/exception.aspx

这篇经典的文章有中文翻译。

本节先到这里。下一节继续。

栈溢出笔记1.9 认识SEH的更多相关文章

  1. 栈溢出笔记1.3 准备Shellcode

    经过1.1和1.2节的讲述,我们已经知道了怎样更改EIP的值. 程序运行函数之后将跳转到我们设定的位置開始运行,因此,我们须要准备一个自己的程序,接手后面的工作.这是一个什么样的程序?是一个C语言编写 ...

  2. 第23章 SEH结构化异常处理(1)_系统SEH机制

    23.1 基础知识 23.1.1 Windows下的软件异常 (1)中断和异常 ①中断是由外部硬件设备或异步事件产生的 ②异常是由内部事件产生的,可分为故障.陷阱和终止三类. (2)两种异常处理机制: ...

  3. SEH分析笔记(X64篇)

    SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本. [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文 ...

  4. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  5. 关于C++异常机制的笔记(SEH, try-catch)

    昨天晚上加班解决了一个问题,是由于无法正确的捕获到异常导致的.刚开始用try-catch,但是没法捕获到异常:后面改成SEH异常才解决.因此今天将这个问题重新梳理了一遍,关于try-catch, SE ...

  6. Windows内核读书笔记——SEH结构化异常处理

    SEH是对windows系统中的异常分发和处理机制的总称,其实现分布在很多不同的模块中. SEH提供了终结处理和异常处理两种功能. 终结处理保证终结处理块中的程序一定会被执行 __try { //要保 ...

  7. linux漏洞分析入门笔记-栈溢出

    ida7.0 ubuntu16.04 lts 0x00:环境配置 使用IDA远程调试Linux程序步骤如下: 1. 在进行远程调试之前需要对Linux平台进行一些准备工作.在IDA的安装目录中的dbg ...

  8. exploit writing tutorial 阅读笔记总结

    近日阅读Corelan Team编写的exploit writing tutorial系列,大致了解了一下原理,记了一些笔记.此系列文章有中文翻译版,在看雪论坛上发表. 英文版地址:https://w ...

  9. C++Windows核心编程读书笔记

    转自:http://www.makaidong.com/%E5%8D%9A%E5%AE%A2%E5%9B%AD%E6%96%87/71405.shtml "C++Windows核心编程读书笔 ...

随机推荐

  1. 洛谷 P2097 资料分发1

    P2097 资料分发1 题目描述 有一些电脑,一部分电脑有双向数据线连接.如果一个电脑得到数据,它可以传送到的电脑都可以得到数据.现在,你有这个数据,问你至少将其输入几台电脑,才能使所有电脑得到数据. ...

  2. js检查元素是否包括在数组中

    说明 在系统中须要检查税率填写的正确性,一定是国家规定的某几种税率,当然能够通过if else进行校验,可是还能够使用定义一个数组然后校验是否包括在元素中进行校验. 长处:加入税率无需改动逻辑,仅仅须 ...

  3. 语音识别系统:有免费实用的"语音到文字"的软件么?

    自从看了<李开复自传>,就对"语音识别系统"产生了非常深刻的印象. 根据自己的判断,语音识别系统还是非常有用的. 以自己的实际需求来看: 1.中国象棋中的应用. 中国象 ...

  4. Mine Vison base on VC++ and procilica Gige Vison SDK

    This is my first vision base on VC++6.0. I am so happy to record this time i succesfully create it b ...

  5. 强大的xUtils工具类整理

    xUtils简单介绍 xUtils 包括了非常多有用的android工具. xUtils 支持大文件上传,更全面的http请求协议支持(10种谓词),拥有更加灵活的ORM,很多其它的事件注解支持且不受 ...

  6. git stash备份当前工作区内容,回到最近一次commit提交

    git stash: 备份当前的工作区的内容,从最近的一次提交中读取相关内容,让工作区保证和上次提交的内容一致.同时,将当前的工作区内容保存到Git栈中.git stash pop: 从Git栈中读取 ...

  7. JS学习笔记 - fgm练习 2-11- 改变图片路径 var img = new Image(); 图片预加载

    <style> *{ margin: 0;padding: 0; list-style: none; } body{ background: black; } .outer{ margin ...

  8. 【hdu 3518】Boring counting

    [链接]h在这里写链接 [题意] 给出一个字符串,求出至少不重叠出现2次以上的子串有多少个. [题解] 枚举要找的子串的长度i; 根据height数组,找出连续>=i的height; 这几个起始 ...

  9. RMQ问题-ST方法

    参考 http://blog.csdn.net/sdj222555/article/details/7875575 RMQ 就是 Range Minimum/Maximum Query 就是求区间最值 ...

  10. 7.2 基础知识ArrayMap

    1.android源码中维护有键值对,通过键可以找到值 Java中Object是所有类的父类,对于键值对的保存如果使用个ObjectArray数组,比如N个位置存放键,N+1的位置就存放值,那么如果键 ...