当有异常发生时,CPU会通过IDT表找到异常处理函数,即内核中的KiTrapXX系列函数,然后转去执行。但是,KiTrapXX函数通常只是对异常做简单的表征和描述,为了支持调试和软件自己定义的异常处理函数,系统需要将异常分发给调试器或应用程序的处理函数。
为了更好的管理异常,Windows系统定义了专门的数据结构EXCEPTION_RECORD来描述异常。
typedef struct _EXCEPTION_RECORD { DWORD ExceptionCode; DWORD ExceptionFlags; struct _EXCEPTION_RECORD *ExceptionRecord; PVOID ExceptionAddress; DWORD NumberParameters; ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS]; } EXCEPTION_RECORD, *PEXCEPTION_RECORD;
ExceptionCode:异常代码,32位整数。
ExceptionFlags:用来记录异常标志,它的每一位代表一种标志。
ExceptionRecord:用来指向与该异常有关的另一个异常记录。
ExceptionAddress;用来记录异常地址,错误类异常与陷阱类异常会有区别。
NumberParameters:附加参数个数,即ExceptionInformation数组的有效个数。
登记CPU异常
对于CPU异常,KiTrapXX例程在完成针对本异常的特别动作后,通常会调用CommonDispatchException函数,它会在栈中分配一个EXCEPTION_RECORD结构,并把异常信息存储到该结构中。在准备好这个结构后,它会调用内核中的KiDispatchExcption函数来分发异常。
登录软件异常
简单来捉,软件异常是通过直接或间接调用内核服务KiRaiseException而产生的。函数内部会把Context上下背景文复制到当前线程的内核栈,接下来调用KiDispatchExcption函数来进行分发。
综上所述,不管什么异常最后都会调用内核中的KiDispatchExcption函数进行分发,也就是说Windows用统一的方式来管理异常。
VOID
KiDispatchException (
IN PEXCEPTION_RECORD ExceptionRecord,
IN PKEXCEPTION_FRAME ExceptionFrame,
IN PKTRAP_FRAME TrapFrame,
IN KPROCESSOR_MODE PreviousMode,
IN BOOLEAN FirstChance
)
ExceptionRecord:用来描述要分发的异常。
ExceptionFrame:指向的KTRAP_FRAME结构,用来描述异常发生时的处理器状态,包括各种通用寄存器、调试寄存器、段寄存器等。
PreviousMode:枚举,用来表示前一种状态是内核模式还是用户模式。
FirstChance:表示第几轮分发。
下面先来看看KiDispatchException 分发示意图。
从图中我们可以看到,KiDispatchException会先调用KeContextFromKframes函数,目的是根据TrapFrame参数指向的KTRAP_FRAME结构产生一个CONTEXT结构,以供向调试器和异常处理器函数报告异常时使用。
接下来会根据模式是内核模式还是用户模式进行分发。下面具体说明。
内核态异常的分发过程
对于第一轮异常KiDispatchException会试图先通知内核调试器来处理异常,如果没有处理异常,那么会调用RtlDispatchExcption,试图寻找已经注册的结构化异常处理器(SEH)。
如果也没有找到,那么就会给内核调试器第二次处理的机会。仍然返回FLASE的话,就会调用KeBugCheckEx触发蓝屏。
用户态异常的分发过程
首先,KiDispatchException会判断是否发送给内核调试器,但内核调试器通常不处理用户态异常,所以KiDispatchException会试图发送给用户态调试器,方法是调用DbgkForwardException。如果不成功,KiDispatchException下一步动作是试图寻找异常处理块来处理该异常,因为用户异常发生在用户态代码中,异常处理块也是在用户态代码中。所以需要转到用户态去执行。(这也就是相对于内核态异常的分发过程,用户态异常的分发过程会麻烦一点的原因,具体方式不再累赘,参考《软件调试》)如果最终也返回FALSE,那么就会分发第二轮。
结构化异常处理SEH
为了让系统和应用程序代码都可以简单方便地支持异常处理,Windows定义了一套标准的机制来处理代码的设计和编译,这套机制被称为结构化异常处理(Structured Exception Handling),简称SEH。
异常处理结构如下:
__try { //被保护块 } __except(过滤表达式) { //异常处理块 }
通过TEB结构的NtTib成员可以很容易的访问进程的SEH链,方法很简单。
TEB.NtTib.ExceptionList成员是TEB结构体的第一个成员。FS段寄存器指向段内存的起始地址,TEB结构体即位于此,所以通过下列公式可以轻松获取TEB.NtTib.ExceptionList的地址。
TEB.NtTib.ExceptionList = FS:[0]
那么那汇编语言实现的话:
PUSH @Handler
PUSH DWORD PTR FS:[0]
MOV DWORD PTR FS:[0], ESP
向量化异常处理VEH
从WindowsXP开始,Windows还支持一种名为向量化异常处理的异常处理机制,简称VEH。
与SEH既可以在用户态又可以在内核态不同,VEH只能在用户态程序中。
VEH的基本思想是通过注册一下的原型的回调函数来接收和处理异常。
LONG CALLBACK VectoredHandle(PEXCEPTION_POINTERS ExceptionInfo);
相应的,Windows公布了两个API,AddVectoredExceptionHandle和RemoveVectoredExceptionHandle来分别注册和注销回调函数VectoredHandle。
例如:
PVOID AddVectoredExceptionHandle(ULONG FirstHandle, PVECTORED_EXCEPTION_HANDLE VectoredHandle)。
参数FirstHandle代表该函数被调用的顺序,0表示希望最后调用, 1表示希望最先调用。如果注册了多个回调函数,而且FirstHandle都是非零,那么最后注册的最先被调用。
SEH与VEH区别和联系:
从应用范围:SEH可以在用户态代码中,也可以用在内核态代码中,但是VEH只能用在用户态代码中。
从优先角度:对于同时注册了SEH与VEH的代码所触发的异常,VEH比SEH先得到处理权。
从登记方式:SEH注册信息是固定结构存储在线程栈中,VEH的注册信息是存储在进程的内存堆中。
从作用域: VEH对整个进程都有效,具有全局性。SEH是动态建立在所在函数函数栈上的,会随函数返回而销毁。
从编译角度:SEH的登记和注销是依赖编译器编译时所产生的数据结构和代码的,VEH的注册和注销都是通过系统调用的API显示染成的,不需要经过编译器的特殊处理。