1、用户层异常与内核异常
异常可以发生在用户空间也可以发生在内核空间。
无论是CPU异常还是模拟异常,是用户层异常还是内核层异常,都要通过KiDispatchException函数进行分发。理解这个函数是弄懂异常的关键。
2、VOID KiDispatchException (
IN PEXCEPTION_RECORD ExceptionRecord,
IN PKEXCEPTION_FRAME ExceptionFrame,
IN PKTRAP_FRAME TrapFrame,
IN KPROCESSOR_MODE PreviousMode,
IN BOOLEAN FirstChance
)
<1>_KeContextFromKframes将Trap_frames备份到context为返回3环做准备
<2>判断先前模式 , 0是内核调用,1是用户调用
<3>是否是第一次机会
<4>是否有内核调试器
<5>如果没有或者内核调试器不处理
<6>调用RtlDispatchException
<7>如果返回FALSE 也就是0
<8>再次判断是否有内核调试器,有就调用,没有直接蓝屏
代码片段
call _KeContextFromKframes@12 ; 将Trap_frames备份到context为返回3环做准备
.text:004259F0 mov eax, [esi]
.text:004259F2 cmp eax, 80000003h
.text:004259F7 jz short loc_425A67
.text:004259F9 cmp eax, 10000004h
.text:004259FE jnz short loc_425A6D
.text:00425A00 mov dword ptr [esi], 0C0000005h
.text:00425A06 cmp byte ptr [ebp+arg_C], 1
.text:00425A0A jnz short loc_425A6D
.text:00425A0C lea eax, [ebp+Context]
.text:00425A12 push eax
.text:00425A13 push esi
.text:00425A14 call _KiCheckForAtlThunk@8 ; KiCheckForAtlThunk(x,x)
.text:00425A19 test al, al
.text:00425A1B jnz loc_425B2D
.text:00425A21 cmp byte ptr ds:0FFDF0280h, 1
.text:00425A28 jnz short loc_425A6D
.text:00425A2A cmp dword ptr [esi+14h], 8
.text:00425A2E jnz short loc_425A6D
.text:00425A30 test _KeNumberProcessors+0Fh, 40h
.text:00425A37 jnz short loc_425A60
.text:00425A39 mov eax, large fs:124h
.text:00425A3F mov eax, [eax+44h]
.text:00425A42 test byte ptr [eax+6Bh], 2
.text:00425A46 jnz short loc_425A60
.text:00425A48 test _KeNumberProcessors+0Fh, 80h
.text:00425A4F jnz short loc_425A6D
.text:00425A51 mov eax, large fs:124h
.text:00425A57 mov eax, [eax+44h]
.text:00425A5A test byte ptr [eax+6Bh], 1
.text:00425A5E jnz short loc_425A6D
.text:00425A60
.text:00425A60 loc_425A60: ; CODE XREF: KiDispatchException(x,x,x,x,x)+C9↑j
.text:00425A60 ; KiDispatchException(x,x,x,x,x)+D8↑j
.text:00425A60 xor edi, edi
.text:00425A62 mov [esi+14h], edi
.text:00425A65 jmp short loc_425A6F
.text:00425A67 ; ---------------------------------------------------------------------------
.text:00425A67
.text:00425A67 loc_425A67: ; CODE XREF: KiDispatchException(x,x,x,x,x)+89↑j
.text:00425A67 dec [ebp+Context._Eip]
.text:00425A6D
.text:00425A6D loc_425A6D: ; CODE XREF: KiDispatchException(x,x,x,x,x)+90↑j
.text:00425A6D ; KiDispatchException(x,x,x,x,x)+9C↑j ...
.text:00425A6D xor edi, edi
.text:00425A6F
.text:00425A6F loc_425A6F: ; CODE XREF: KiDispatchException(x,x,x,x,x)+F7↑j
.text:00425A6F cmp byte ptr [ebp+arg_C], 0 ; 判断先前模式 , 0是内核调用,1是用户调用
.text:00425A73 jnz short loc_425ADA ; 用户态调用跳转
.text:00425A75 cmp [ebp+arg_10], 1 ; 是否第一次调用
.text:00425A79 jnz short loc_425AB0
.text:00425A7B mov eax, _KiDebugRoutine ; 是否有内核调试器
.text:00425A80 cmp eax, edi
.text:00425A82 jz short loc_425A9F ; 如果没有内核调试器
.text:00425A84 push edi
.text:00425A85 push edi
.text:00425A86 lea ecx, [ebp+Context]
.text:00425A8C push ecx
.text:00425A8D push esi
.text:00425A8E push [ebp+var_2F0]
.text:00425A94 push ebx
.text:00425A95 call eax ; _KiDebugRoutine ; 有内核调试器,会调用这个内核调试器
.text:00425A95 ; 如果调用返回成功,说明内核调试器处理了,将context恢复到trap_frame
.text:00425A95 ; 如果内核调试器没有处理,就让3环的程序处理
.text:00425A97 test al, al
.text:00425A99 jnz loc_425B2D ; 如果有内核调试器处理,直接跳转到要处理处
.text:00425A9F
.text:00425A9F loc_425A9F: ; CODE XREF: KiDispatchException(x,x,x,x,x)+114↑j
.text:00425A9F lea eax, [ebp+Context] ; 如果没有内核调试器,或者内核调试器没有处理
.text:00425AA5 push eax ; Context
.text:00425AA6 push esi ; ExceptionRecord
.text:00425AA7 call _RtlDispatchException@8 ; 这个函数负责调用处理函数
3、RtlDispatchException(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT Context)函数执行流程
typedef struct _EXCEPTION_REGISTRATION_RECORD{
struct _EXCEPTION_REGISTRATION_RECORD *Next;
PEXCEPTION_ROUTINE Handler;
}EXCEPTION_REGISTRATION_RECORD;
RtlDispatchException的作用就是:
遍历异常链表,调用异常处理函数,如果异常被正常处理了,该函数返回1。如果当前异常处理函数不能处理该异常,那么调用下一个异常处理函数,一次类推,如果到最后也没有能处理这个异常,则返回0
4、RtlDispatchException函数式执行流程
