Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
两种异常(CPU异常、用户模拟异常)的收集
文章的核心:异常收集的是什么?(TrapFrame与ExceptionRecord);如何收集异常?(看文章)。
1. 异常的分类
① CPU指令异常 (比如除零异常) CPU运行检测到;
② 用户模拟异常 (throw 1)
其在收集是存在不同,但在派发时和处理时是完全相同的,下面我们就来分析一下其存在的不同。
2. CPU指令异常 - 除零异常(分析)
1)Trap00函数分析
除零异常会引发中断,其执行 Trap00 函数,该函数逆向分析如下,我们在三环进零环时,已经学习过一个_TrapFrame结构,其本质也是填写该结构。
注意,我们应该清楚,TrapFrame结构不只是三环进零环使用,而是只要走IDT表都要使用该结构,其是通过TrapFrame怎么返回,至于从三环还是零环进来这不重要。
其分析情况如下图,Trap00总结做已下事情:
① 保存TrapFrame基本的信息;
② 检查DebugActive是否存在调试器,若存在调试器,则保存Dr相关寄存器;
③ 判断来自内核或三环,来确定其错误号(0xc0000094/0xc0000095);
④ 其最后有三次机会走CommonDispatchException函数。
2) CommonDispatchException 异常记录函数分析
该函数就是生成ExceptionRecord这个结构体,填写完成,然后调用nt!KiDispatchException进行下一步分析(三环的模拟异常直接在三环形成,然后拷贝到零环)。
我们要知道ExceptionRecord的作用:存储了异常码、异常属性、异常记录(链表,多次出现异常时记录)、异常发生地址、异常有关参数。
其中该函数的重要一点:其ExceptionFlags置为0,我们之后关注KiDispatchException如何处理的。
3.用户模拟异常分析
像thorw 1 这种引发的是用户模拟异常,我们下面就来分析一下如下代码:
#include "stdafx.h" #include <windows.h> int main(int argc, char* argv[]) { throw 11; return 0; }
9: throw 11;
00401028 mov dword ptr [ebp-4],0Bh
0040102F push offset __TI1H (00423580)
00401034 lea eax,[ebp-4]
00401037 push eax
00401038 call __CxxThrowException@8 (004011e0)
1)CxxThrowException反汇编分析
如下是CxxThrowException函数的反汇编,该函数需要两个参数,一个是我们模拟的代码,另外一个是ExceptionList,我们下面详细分析该段代码的执行流程:
004011E0 push ebp
004011E1 mov ebp,esp
004011E3 sub esp,20h
004011E6 push esi
004011E7 push edi
004011E8 mov ecx,8
004011ED mov esi,offset string "The value of ESP was not properl"...+0E0h (00422118)
004011F2 lea edi,[ebp-20h]
004011F5 rep movs dword ptr [edi],dword ptr [esi]
// 复制一段结构体
004011F7 mov eax,dword ptr [ebp+8]
004011FA mov dword ptr [ebp-8],eax
004011FD mov ecx,dword ptr [ebp+0Ch]
00401200 mov dword ptr [ebp-4],ecx
// 传入参数
00401203 lea edx,[ebp-0Ch]
00401206 push edx // 参数指针
00401207 mov eax,dword ptr [ebp-10h]
0040120A push eax // 参数个数
0040120B mov ecx,dword ptr [ebp-1Ch]
0040120E push ecx // 异常标志位
0040120F mov edx,dword ptr [ebp-20h]
00401212 push edx // 异常码
00401213 call dword ptr [__imp__RaiseException@16 (0042a154)]
该代码所做的事情如下:
① 先从内存中拷贝一段0x20字节的固定结构体到堆栈中;
② 将ExceptionList也拷贝到堆栈中(该结构体内部);
③ 传入有关参数调用RaiseException函数。
可能光看比较抽象,下面画出其详细的栈帧图就知道了,注意,ThrowCode虽然从用户代码传入进来,但分析其函数并没有用到,而是直接调用一段固定的异常码。
而&ThrowCode以及异常链被作为其参数存储,这样通过分析就可以轻易找到其ThrowCode值,其作为参考之后来处理SEH。
2)kernel32!RaiseException函数分析
前面分析过,其CxxThrowException函数调用该函数,该函数的本质就是生成一个ExceptionRecord结构体,
我们之前分析过,如果是CPU指令异常,其在CommonDispatchException函数中生成该结构体;
函数分析如下,该过程比较好理解,注意其触发异常的地址标记为该地址,并不是ThrowCode的地址,这个是你要明确的,后续在将异常处理时这里用到SEH异常,我们再继续分析
3)ntdll!RtlRaiseException函数分析
该函数分析如下,其在三环进入零环前在堆栈中保存了一个_CONTEXT结构体,我们之前在用户APC分析过,返回三环时要在零环向三环堆栈中写入一个CONTEXT用于保存。
来自用户层的异常我们确定其必须返回,,则就进零环之前就直接在三环中预先保存了一个_CONTEXT结构体,至于其如何使用,我们在异常的处理中会详细分析到。
这里我们要关注CONTEXT几个比较重要的点:eip与esp,因为其是程序的重要落脚点,发现其是该函数的返回地址与上一个函数的堆栈图(本质就是kernel!RaiseException调用时的现场)。
4)nt!RtlRaiseException函数分析分析
上面我们经过分析ntdll!RtlRaiseException,发现其调用ZwRaiseException函数进内核,其对应nt!NtRaiseException函数,其分析如下图
该函数如下所示,其中值得注意的一点是:KThread.TrapFrame保存着TrapFrame.ebx,进零环时,mov edx,esp,其esp保存着call的返回地址,即ebx保存着三环栈顶,也是三环的返回地址。
这是这里一个比较重要的细节,你是一定要明确的。
5)nt!KiRaiseException函数分析
我们之前在三环生成了ExceptionRecord与Context,但是我们要在零环使用,其如何使用的呢?
分析了这个函数你就会明白,其在nt!KiRaiseException函数中调用完成的两者的复制,之后将Context转换为TrapFrame其KiDispatchException要使用。
之前我们存在一个疑问,为什么不能使用三环进零环的一个TrapFrame而非得从三环拿过来一个Context转换?
猜想:因为该TrapFrame必须是异常现场的TrapFrame,而CPU中断直接调用IDT异常表很容易保存,但是用户模拟的必须是从三环到零环的,其TrapFrame是关于系统调用的。
因此必须调用ntdll!RtlRaiseException三环保存的Context,这是直接记录异常现场的,这样你就能很好理解其中的逻辑。
备注:在调用KiDispatchException上方,其存在一句代码:ExceptionCode &= EFu,其表示将用户模拟异常的位置0,因此用户模拟异常最高位不可能为0,CPU异常,比如c0000094,区分。
4. 总结
到此为止,我们分析过上面两种异常的收集流程,其最终都会流向nt!KiDispatchException函数,下面一张图简单汇总,如果看详情,直接回去看有关函数,都说的很详细。
我们要知道异常收集的是什么-ExceptionRecord以及TrapFrame,怎么收集的?按上面来分析即可。
5.通过异常来进行三环与零环通信的思路
对于异常,我们存在一种思路,即通过除零异常触发,然后hook除零异常,接收到消息,然后读取全局变量或者节区。
我们将数据存储在全局变量或者存放在一个专门的PE节区中,我们在Hook的除零异常代码中读取,然后执行,这样就很好理解了。
之后我们会通过这个猜想来实现我们的代码。