首页
论坛
课程
招聘
[调试逆向] [翻译]使用OllyDbg从零开始Crack 第22章-反调试之UnhandledExceptionFilter,ZwQueryInformationProcess
2014-6-18 17:16 16001

[调试逆向] [翻译]使用OllyDbg从零开始Crack 第22章-反调试之UnhandledExceptionFilter,ZwQueryInformationProcess

2014-6-18 17:16
16001
标题太长,不能输入,只能强行缩短了,
第22章更新:

本章内容可以结合simonzh2000兄帖中Jeremy Gordon, Hume总结的异常处理顺序来理解

发生异常时系统的处理顺序(by Jeremy Gordon, Hume): 

    1.系统首先判断异常是否应发送给目标程序的异常处理例程,如果决定应该发送,并且目标程序正在被调试,则系统 
    挂起程序并向调试器发送EXCEPTION_DEBUG_EVENT消息.

    2.如果你的程序没有被调试或者调试器未能处理异常,系统就会继续查找你是否安装了线程相关的异常处理例程,如果 
    你安装了线程相关的异常处理例程,系统就把异常发送给你的程序seh处理例程,交由其处理. 

    3.每个线程相关的异常处理例程可以处理或者不处理这个异常,如果他不处理并且安装了多个线程相关的异常处理例程, 
        可交由链起来的其他例程处理. 

    4.如果这些例程均选择不处理异常,如果程序处于被调试状态,操作系统仍会再次挂起程序通知debugger. 

    5.如果程序未处于被调试状态或者debugger没有能够处理,并且你调用SetUnhandledExceptionFilter安装了最后异 
    常处理例程的话,系统转向对它的调用. 

    6.如果你没有安装最后异常处理例程或者他没有处理这个异常,系统会调用默认的系统处理程序,通常显示一个对话框, 
    你可以选择关闭或者最后将其附加到调试器上的调试按钮.如果没有调试器能被附加于其上或者调试器也处理不了,系统 
    就调用ExitProcess终结程序. 

    7.不过在终结之前,系统仍然对发生异常的线程异常处理句柄来一次展开,这是线程异常处理例程最后清理的机会.

前面已翻译章节列表:
[COLOR="Red"][FONT="Arial Black"][SIZE="6"]使用OllyDbg从零开始Cracking[/SIZE][/FONT][/COLOR]

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (29)
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-6-18 17:19
2
0
我去,文件名被截断了...
雪    币: 38
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
No紫色 活跃值 2014-6-18 17:27
3
0
第一次离楼主这么近 好紧张好自豪
雪    币: 373
活跃值: 活跃值 (254)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
曹操abc 活跃值 2014-6-18 17:37
4
0
只能默默的注视着LZ...
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-6-18 17:47
5
0
,好吧,你的性别已经暴露了... 嘿嘿
雪    币: 29
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
linwushine 活跃值 2014-6-18 18:14
6
0
不知道我可否在这回贴,回完贴继续去看C程序设计,做个标记,以后用到调试工具再来翻看。
雪    币: 3385
活跃值: 活跃值 (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
killbr 活跃值 2014-6-18 18:42
7
0
几天不来 都22章了。
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-6-18 18:45
8
0
是滴  
雪    币: 100
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
anglehua 活跃值 2014-6-19 11:27
9
0
楼主这两天小宇宙爆发,更新速度很快
雪    币: 237
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wanglixued 活跃值 2014-6-19 11:29
10
0
顶 就一个字!一如既往的支持楼主!
雪    币: 11
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sanliu 活跃值 2014-6-19 13:07
11
0
一下子就多了好几章!!!支持!
雪    币: 196
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
enjon 活跃值 2014-6-24 13:33
12
0
辛苦辛苦,谢谢楼主。
雪    币: 233
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xingbing 活跃值 2014-6-29 17:46
13
0
顶 就一个字!一如既往的支持楼主!
雪    币: 29
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Rec搁浅 活跃值 2014-6-30 21:30
14
0
楼主好人一生平安  强烈支持!!
雪    币: 208
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
magicchen 活跃值 2014-7-2 16:53
15
0
win8下,断不下UnhandledExceptionFilter。似乎没有调用哦
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-7-2 16:59
16
0
装个XP虚拟机做实验吧...
分析程序我一般不用win7或者win8...   你对操作越熟悉,分析起来越得心应手,所以建议你用XP来分析样本
雪    币: 198
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jiych 活跃值 2014-7-3 07:13
17
0
这章看的云里雾里的,连问题都提不出来的感觉,完全没看懂的节奏?!
雪    币: 198
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jiych 活跃值 2014-7-3 07:25
18
0
SetUnhandledExceptionFilter中设置的异常处理只有在进程未调试情况下才会调用,这个检查OD的动作是在哪里做的?
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-7-3 09:49
19
0
,是系统判断是否有Debugger存在...,对我们来说是透明的
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-7-3 09:55
20
0
,如果你写过调试器的话,本章内容就很容易理解了
        暂时不懂的话,原理就先放着,知道有这种反调试就行了,过段时间看看能不能提出问题
雪    币: 198
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jiych 活跃值 2014-7-3 22:28
21
0
恩,谢谢安大
你换了个好喜庆的头像啊。。。眼绕花了。。
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-7-4 01:31
22
0
喜庆?  
雪    币: 198
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jiych 活跃值 2014-7-4 17:53
23
0
嚓,安大你都几点睡啊
之前头像不是挺好嘛,某次在freeb上一眼就认出你了
雪    币: 2493
活跃值: 活跃值 (301)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2014-7-4 17:54
24
0
那头像有点晃眼,果断换了...
不知道几点,有时候早,有时候晚...
雪    币: 208
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
magicchen 活跃值 2014-7-25 14:42
25
0
谢谢安大
游客
登录 | 注册 方可回帖
返回