首页
论坛
课程
招聘
[原创]异常处理流程(三) SEH链的安装
2018-5-11 15:19 4662

[原创]异常处理流程(三) SEH链的安装

2018-5-11 15:19
4662
异常处理函数可以是自定义的函数,系统有一个默认的函数,但我们可以自定义一个异常处理函数,让它来处理。但是得先安装自定义函数才能使用。怎么安装呢?

调试器:OllyDbg

环境:win7 64位真机


看到FS寄存器里是7efdd000,在数据窗口跟随FS[0],里面的是0018ffc4,如下图所示。

0018ffc4明显是一个堆栈地址,就在堆栈窗口中跟随 0018ffc4,堆栈注释那里显示SHE链尾部,如下图所示。


可见,SEH处理程序的尾部都存储于堆栈中。

它的下一行是0018ffc4,里面的内容是77A45845。右边注释了 “SE处理程序”,如上图所示,这里就是系统默认的异常处理函数的开始。可见,SEH处理程序的首地址也存储于堆栈中。并且首尾相邻。

那么我们自己的SEH呢?这里没有。

打开一个新程序,它安装了处理程序。有一处注释“SE处理程序安装”,是

Push smartmou.004066d8

这里是作者写的异常处理函数的入口是4066d8,如下图,


我们把它入栈,堆栈注释:“入口地址”。

接下来执行  mov eax FS[0]

FS[0]里是一个堆栈地址,根据上一个例子的经验,该堆栈地址存储着SEH处理程序的尾部,我们把这个堆栈地址里的值赋值给eax。

再执行Push eax,也就是将尾部内容入栈

然后是Mov FS[0] esp

用堆栈最顶端的四字节数据覆盖FS[0]。

本来FS[0]里是 18FFC4 ,相当于在FS[0]处做了备份。还记得 18FFC4 指向哪里吗?它指向默认异常处理程序的尾部。

覆盖后, FS[0] 中不再储存链尾部的地址,而被当前ESP所覆盖。那么当前ESP指向哪里呢?当前是18FF74,它指向18FFC4,如果再讲18FFC4作为指针,它指向下一个SEH的入口。如图所示


至此,异常处理程序安装完毕。如果有异常触发,首先会调用用户自定义的异常处理函数。如果这个函数执行完后,没有解决问题,就会根据 18FFC4 找到以后默认的异常处理方法的链尾,接着去执行默认。所以这个链的本质是一个链表。在 OD的主界面点击查看-SHE链,这个界面可以查看SHE链,但是得安装完成才能看到。这三行代码执行完毕,就能看到安装好的SEH链。如图所示。


这四行代码可以用SetUnhandledExceptionFilter来代替,对于该函数,SEH就是它的首地址就是它的参数。

观察程序能否正常执行异常处理流程。

安装完成后我们故意制造一个异常,并 在SEH链上设置断点。 

选项-调试设置-只忽略在kernal32里的异常,F9运行,停在人为异常代码。

在调试器里按下shift+f9,的确会断在SEH链这。

注:shift+f9和调试选项里勾选忽略异常,效果是一样的,按下shift+f9就相当于在调试选项的忽略异常那里打了一次勾。按下以后就把异常交给系统默认流程了,就是提示出错,并且退出程序




[注意] 招人!base上海,课程运营、市场多个坑位等你投递!

最后于 2018-5-13 10:16 被r0Cat编辑 ,原因:
收藏
点赞1
打赏
分享
最新回复 (7)
雪    币: 35
活跃值: 活跃值 (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hanwnpu 活跃值 2021-3-16 12:36
2
0
程序没有驱动反调试,但是一下任何断点就崩溃,是不是因为程序自带SHE呢?如何暴力剔除程序自带的异常处理呢?
雪    币: 7227
活跃值: 活跃值 (5090)
能力值: (RANK:530 )
在线值:
发帖
回帖
粉丝
r0Cat 活跃值 6 2021-3-16 16:10
3
0
hanwnpu 程序没有驱动反调试,但是一下任何断点就崩溃,是不是因为程序自带SHE呢?如何暴力剔除程序自带的异常处理呢?
一下断点就崩溃应该是程序有完整性校验,用CC代替了指令的首字节,CRC校验不通过就崩溃了.一般是通过一个线程扫描的,你看看哪个线程可疑,敲掉他
程序自带的seh有好有坏,至少那个全局seh肯定不能删,32位x86在栈上构建的seh,你把恶意的seh摘了试试,就改下结构体里的链表指针
雪    币: 35
活跃值: 活跃值 (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hanwnpu 活跃值 2021-3-17 03:21
4
0
谢谢你能回复,应该不是crc,运行到断点才会崩溃,无论是硬件断点还是内存断点,感觉异常被程序本身接管了,OD收不到异常,我是64位系统。
雪    币: 7227
活跃值: 活跃值 (5090)
能力值: (RANK:530 )
在线值:
发帖
回帖
粉丝
r0Cat 活跃值 6 2021-3-17 11:21
5
0
hanwnpu 谢谢你能回复,应该不是crc,运行到断点才会崩溃,无论是硬件断点还是内存断点,感觉异常被程序本身接管了,OD收不到异常,我是64位系统。

我说的也不一定对兄弟,仅仅做个参考
关键是定位到关键异常处理函数(前提是真的是通过SEH/VEH实现反调试).如果程序是x64的,seh结构体已经从x86时代,运行时在栈上构造提前到了编译时直接编译到PE文件里,

查看异常处理函数时,既可以通过IDA跳到替咱们解析好的异常处理函数,也可以写一个调试器脚本,解析NT头里的可选PE头里的数据目录里的异常处理,那里都是RUNTIME_FUNCTION结构体数组(IDA在函数头部按下X查看交叉引用的可跳转到该结构体,它类似于x86下在栈上构造的那个),然后根据他再解析出所有异常处理函数在哪里,然后分析出关键的handler把他patch掉

另外可能在try-except(filter())里的filter()全局展开函数里就已经开始做手脚了,也需要留心.
还有你说在哪下都不行,是在任何一个地方下断崩溃还是在特定的函数下断崩溃?会不会在函数某些位置下断能检测到,其他位置检测不到?我就想也有可能是不是通过seh而是通过veh,全局异常处理来反调试的
我写的seh反调试,并不是检测int3而是检测有没有调试器附加,虽然都实现了反调试但原理完全不同,反调试思路千变万化
还有一种可能和seh/veh都没关系,而是从三环进0环在中间层做了反调试处理,我感觉这个的可能性很大,int3是一个软中断,在三环进零环的过程中被做了手脚,还有可能是当0环发现异常发生在三环时会返回三环,执行好像叫RtlDispatchException的函数,是不是那附近被挂钩子了,也不知道

我说的不一定准确,但有一点,异常处理需要仔细研究每一个细节,如果不了解全部,无法准确定位真正的问题在哪.研究出来后记得回来发个帖子

最后于 2021-3-20 13:49 被r0Cat编辑 ,原因:
雪    币: 35
活跃值: 活跃值 (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hanwnpu 活跃值 2021-3-17 19:15
6
0

在OD 里对WSASend或任何函数下CC  硬断 或内存断点,程序不执行不会出错,只要运行到下段的地方就会出错,感觉VEH派发异常的时候直接派发给了程序自身,程序是加壳的,用IDA怕是分析不了,脱壳后无法修复运行不了,HOOK列表里也看不出来什么,这种反断点挺普遍,我遇到好几个了,应该是用来同一款壳,一直搞不懂咋回事。



[PC Hunter Standard][MHClient-Connect.exe-->Ring3 Hook]: 106

挂钩对象 挂钩位置 钩子类型 挂钩处当前值 挂钩处原始值

G:\新世界墨\GodMxoNew\MHClient-Connect.exe 模块文件被替换,可能是模块升级后未重启程序导致的,也可能是被病毒劫持了

[*]len(1) ntdll.dll->DbgBreakPoint 0x0000000077E2000C->_ inline C3 CC

[*]len(5) ntdll.dll->DbgUiRemoteBreakin 0x0000000077EAF142->_ inline E9 80 9C FB FF 6A 08 68 30 BB

[*]len(1) ntdll.dll->DbgUserBreakPoint 0x0000000077E2000C->_ inline C3 CC

[*]len(7) kernel32.dll->K32EnumProcessModulesEx 0x00000000758590C4->_ inline E9 87 B7 5D FB CC CC 6A 0C 68 28 91 85 75

[*]len(5) kernel32.dll->K32GetMappedFileNameW 0x000000007585949F->_ inline E9 BC B3 5D FB 8B FF 55 8B EC

[*]len(5) kernel32.dll->K32GetModuleInformation 0x0000000075859149->_ inline E9 E2 B8 5D FB 68 90 00 00 00

[*]len(7) kernel32.dll->RegDeleteValueW 0x00000000757CEA5D->_ inline E9 7E 69 66 FB CC CC 6A 20 68 00 EB 7C 75

[*]len(7) kernel32.dll->RegQueryValueExW 0x00000000757B1EEE->_ inline E9 FD 34 68 FB CC CC 6A 2C 68 00 20 7B 75

[*]len(7) kernel32.dll->RegSetValueExA 0x00000000757C1409->_ inline E9 32 42 67 FB CC CC 6A 3C 68 30 15 7C 75

[*]len(7) kernel32.dll->RegSetValueExW 0x00000000757B5B85->_ inline E9 A6 FE 67 FB CC CC 6A 28 68 98 5C 7B 75

[*]len(5) KERNELBASE.dll->FreeLibrary 0x00000000765C2E7E->_ inline E9 ED 14 87 FA 8B FF 55 8B EC

[*]len(5) KERNELBASE.dll->GetModuleHandleExW 0x00000000765C1EFA->_ inline E9 81 27 87 FA 8B FF 55 8B EC

[*]len(5) KERNELBASE.dll->GetModuleHandleW 0x00000000765C1E4C->_ inline E9 1F 29 87 FA 8B FF 55 8B EC

[*]len(5) KERNELBASE.dll->LoadLibraryExW 0x00000000765C2BDC->_ inline E9 5F 1E 87 FA 8B FF 55 8B EC

[*]comctl32.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]ADVAPI32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

GDI32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]len(5) GDI32.dll->D3DKMTGetDisplayModeList 0x0000000075D6E773->_ inline E9 08 52 0C FB B8 6F 11 00 00

[*]len(5) GDI32.dll->D3DKMTQueryAdapterInfo 0x0000000075D6E9AD->_ inline E9 DE 4F 0C FB B8 81 11 00 00

[*]USER32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]len(5) USER32.dll->ChangeDisplaySettingsExW 0x0000000076830867->_ inline E9 54 2D 60 FA 8B FF 55 8B EC

[*]len(5) USER32.dll->CreateWindowExW 0x00000000767E8A29->_ inline E9 12 AE 64 FA 8B FF 55 8B EC

[*]len(5) USER32.dll->DisplayConfigGetDeviceInfo 0x0000000076847AF4->_ inline E9 D7 C7 5E FA 8B FF 55 8B EC

[*]len(5) USER32.dll->EnumDisplayDevicesA 0x00000000767F5645->_ inline E9 B6 EC 63 FA 8B FF 55 8B EC

[*]len(5) USER32.dll->EnumDisplayDevicesW 0x000000007680F61F->_ inline E9 3C 4D 62 FA 8B FF 55 8B EC

[*]USP10.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

SHLWAPI.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]len(5) ole32.dll->CoCreateInstance 0x0000000075B89C5B->_ inline E9 80 9A 2A FB 8B FF 55 8B EC

[*]len(5) ole32.dll->CoSetProxyBlanket 0x0000000075B55DD5->_ inline E9 26 DA 2D FB 8B FF 55 8B EC

OLEAUT32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

WINSPOOL.DRV->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]MPR.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

IMM32.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

MSCTF.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]nvinit.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

VERSION.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]nvd3d9wrap.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

SETUPAPI.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]CFGMGR32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

nvdxgiwrap.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]winmm.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]SoundLib.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]mss32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]MSVCR71.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]MSVCR71.dll->KERNEL32.dll:CreateProcessA 0x00000000757B1072->0x000000006DB1241B[C:\Windows\AppPatch\AcLayers.DLL] Iat 1B 24 B1 6D 72 10 7B 75

MSVCR71.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75

[*]DINPUT8.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]WININET.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

urlmon.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

CRYPT32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]iertutil.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

opencc.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]FreeImage.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]srvcli.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]wkscli.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

CrashRpt1402.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]CrashRpt1402.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75

liblz4.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

PocoFoundation.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]PocoFoundation.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75

[*]ntmarta.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]WLDAP32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

WebviewEdge.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

G:\新世界墨\GodMxoNew\WebView2Loader.dll 模块文件被替换,可能是模块升级后未重启程序导致的,也可能是被病毒劫持了

UxTheme.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]gdiplus.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]OLEACC.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

fwpuclnt.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

dwmapi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]SS3DRendererForMuk.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]d3d8.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]WINTRUST.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]nvumdshim.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

igdumdim32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]igdusc32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

BaseNetwork.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]comdlg32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]mssmp3.asi->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

mssvoice.asi->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]mssa3d.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]mssds3d.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]mssdx7.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]msseax.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

mssrsx.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]mssrsx.m3d->KERNEL32.dll:CreateProcessA 0x00000000757B1072->0x000000006DB1241B[C:\Windows\AppPatch\AcLayers.DLL] Iat 1B 24 B1 6D 72 10 7B 75

MSACM32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

msssoft.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

mssdsp.flt->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

DSOUND.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]POWRPROF.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]CLBCatQ.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

MMDevApi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

PROPSYS.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]AUDIOSES.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]NLAapi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

napinsp.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]pnrpnsp.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

wshbth.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]SOGOUPY.IME->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

PicFace.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

PicFace.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75

comctl32.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

rsaenh.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

bcrypt.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75

[*]bcryptprimitives.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75



雪    币: 7227
活跃值: 活跃值 (5090)
能力值: (RANK:530 )
在线值:
发帖
回帖
粉丝
r0Cat 活跃值 6 2021-3-18 00:01
7
0
可以看看崩溃时的调用栈,找到三环哪里触发了崩溃
另外有时也受调试器版本,插件,设置,种类影响
雪    币: 35
活跃值: 活跃值 (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hanwnpu 活跃值 2021-3-20 05:54
8
0
找出是哪的问题了,可以下段了,进游戏后程序会调用 RtlExitUserThread退出。
他安装了很多SE,用了这个函数处理异常jmp msvcr71.__CxxFrameHandler,查不到这个函数的资料没法HOOK,我是直接在这个JMP 返回的,不进游戏随便下段,一进游戏几秒就被检测到了,直接RtlExitUserThread退出。帮我分析下这个函数什么意思。
游客
登录 | 注册 方可回帖
返回