这几天在重看SEH机制，收获颇丰。

随手写了一个用SEH进行跳转的代码贴于此处以作纪念。

当发生异常，并捕捉了异常。在OS的异常处理机制下。会进入异常过滤函数。

过滤函数能够返回EXCEPTION_EXECUTE_HANDLER/EXCEPTION_CONTINUE_SEARCH/EXCEPTION_CONTINUE_EXECUTION三者之中的一个，以此决定OS的兴许操作。

假设返回EXCEPTION_CONTINUE_EXECUTION。OS觉得异常已解决，能够从发生异常的指令处继续执行。一般这是用于解决訪问内存出错的情况。比方:

int* ptr=NULL;

int ex(EXCEPTION_POINTERS* ExceptionInfo)

{

	ExceptionInfo->ContextRecord->Eax=(DWORD)malloc(sizeof(int));

	return EXCEPTION_CONTINUE_EXECUTION;

}

int main()

{

	__try

	{

		*ptr = 0x00;

//004010AC   mov         eax,[ptr (00422780)]

//004010B1   mov         dword ptr [eax],0

                MessageBox(NULL,"","",MB_OK);

	}

	__except(ex(GetExceptionInformation()))

	{

	}

}

当运行*ptr=0x00时，因为ptr指向空。因此mov dword ptr [eax],0这句会引起异常。为了让代码继续往下运行弹出对话框。仅仅要让eax指向有效内存就可以。那怎样让eax指向有效地址？仅仅要给eax创建堆内存就可以，因此能够在异常过滤函数中开辟空间。按windows的设计。异常发生时OS会把压入在堆栈中寄存器值保存到线程环境中(通过KiTrapFrameToContext)；当从异常返回时，用保存的线程环境恢复寄存器继续运行(通过KiContextToTrapFrame)。

那么所谓的线程环境在哪？代码中ExceptionInfo->ContextRecord即为所求。

因此，我在过滤函数中改动Context->Eax。使之指向有效内存，实现了修复异常继续指令流的目的。

事实上，这整个流程类似于SetThreadContext/GetThreadContext。

另外。值得一提的是，当异常发生时，假设异常类型是訪存失败，错误码是0xC0000005的情况下。

ExceptionInfo->ExceptionRecord->NumberParameters;

ExceptionInfo->ExceptionRecord->ExceptionAddress；

    ExceptionInfo->ExceptionRecord->ExceptionInformation[1];

这几个域包括了重要信息。

来看个常见而又蛋痛的对话框：

当你happy的玩着游戏时。跳出这个。是不是都毁了？假设细致看出错信息上面给出了例如以下信息：出错的指令的地址-0x6F001080,出错的原因-0xC0000005(訪问无效内存)，无效内存的地址0xE2AF524C。

这些信息，进入内核态以后能够轻松获得，可是用户态有没有办法获得？比方想做一个用户态的调试器？当然有。上面提到的3个域依次相应：异常时ExceptionInformation数组的元素数量、出错的指令的地址、訪问无效内存的地址。

有了这些辅助信息后，開始讨论正题。事实上，这里已经呼之欲出了：代码混淆一般就是通过各种手段混乱代码运行流程，放在这篇文章中。仅仅要改动EXCEPTION_CONTINUE_EXECUTION返回时的地址就可以(注意我的用词，是EXCEPTION_CONTINUE_EXECUTION的返回地址，不是异常的返回地址，假设没记错对于vc++6.0异常的返回地址应该是_except_handle3)。进一步说，就是触发异常并保存线程环境时Eip的值。

罗列一下代码:代码运行流程为1)-5)

#include <windows.h>

#include <stdio.h>

int* ptr;

//4)Msg被调用

void Msg(int a,int b)

{

	int c = a+b;

	printf("%d\n",c);

	MessageBox(NULL,"","",MB_OK);

	__asm

	{

		mov eax,c

	}

}

int ex(EXCEPTION_POINTERS* ExceptionInfo)

{

	//3)准备跳转到Msg中

	//Msg是带參数函数，參数保存在异常发生前的堆栈上。即Esp指向

	//此时ExceptionInfo->ContextRecord->Eip[0]指向Lab1代表的地址

	//ExceptionInfo->ContextRecord->Eip[4]=0x01 ExceptionInfo->ContextRecord->Eip[8]=0x02

	ExceptionInfo->ContextRecord->Eip = (DWORD)Msg;

	return EXCEPTION_CONTINUE_EXECUTION;

}

int main()

{

	int i=0;

	ptr = (int*)&main;

	__try

	{

		/*

		原本向jmp Lab2,结果提示"illegal jump into __try scope",就这么取代一下

		*/

		if(1)

			goto Lab2;

Lab1:

		//5)从Msg返回后 指令流进入Lab1

		i++;

		printf("%d\n",i);

		ExitProcess(0);

Lab2:

		__asm

		{

			//1)制造Msg函数的參数及返回地址.模拟c调用函数的过程.异常触发后要跳入Msg运行

			//对于Msg函数。他根本不知道是谁调用他的，他仅仅关心參数是否正确

			push 0x02;

			push 0x01;

			lea eax,Lab1;

			push eax;

		}

		//2)触发异常。给与Lab1中真正须要运行的代码于机会

		(*ptr) = 0x01;

	}

	__except(ex(GetExceptionInformation()))

	{}

	return 0;

}