26种对付反调试的方法

SEH是Windows操纵体系提供应措施计划者的强有力的处理赏罚措施错误或非常处理赏罚的器材，应承其吸取关于非常环境的关照，譬喻除数是0导致的错误，引用不存在的指针或执行受限定的指令。这种机制应承处理赏罚应用措施中的非常，而无需操纵体系操纵。假如差池非常举办处理赏罚，则会导致非常措施终止。开拓职员凡是能在仓库中找到SEH的指针，它们被称为SEH Frame。当前SEH Frame地点位于x64体系的FS选择器或GS选择器的0的偏移处，这个地点指向ntdll！_EXCEPTION_REGISTRATION_RECORD布局：

0:000> dt ntdll!_EXCEPTION_REGISTRATION_RECORD 
   +0x000 Next             : Ptr32 _EXCEPTION_REGISTRATION_RECORD 
   +0x004 Handler          : Ptr32 _EXCEPTION_DISPOSITION 

当启动非常时，节制将传输到当前的SEH处理赏罚措施。按照环境，SEH处理赏罚措施应返回一个_EXCEPTION_DISPOSITION值：

typedef enum _EXCEPTION_DISPOSITION { 
    ExceptionContinueExecution, 
    ExceptionContinueSearch, 
    ExceptionNestedException, 
    ExceptionCollidedUnwind 
} EXCEPTION_DISPOSITION; 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!