IsBadReadPtr函数和异常处理

最新推荐文章于 2024-06-11 13:44:02 发布
最新推荐文章于 2024-06-11 13:44:02 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: windows平台 文章标签: window c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CoderAldrich/article/details/120891741
版权

起因是优化代码性能,注意到这个函数,搜了一下发现是微软弃用的函数,说是有线程安全问题。经过一系列操作发现,处理大文件时这个函数会导致耗时变长,于是就研究一下这个函数。

首先看函数开头:

mov     edi, edi
push    ebp
mov     ebp, esp
push    0FFFFFFFEh
push    offset stru_77991A20
push    offset FindResourceExA_SEH
mov     eax, large fs:0
push    eax
sub     esp, 10h
push    ebx
push    esi
push    edi
mov     eax, ___security_cookie
xor     [ebp+ms_exc.registration.ScopeTable], eax
xor     eax, ebp
push    eax
lea     eax, [ebp+ms_exc.registration]
mov     large fs:0, eax
mov     [ebp+ms_exc.old_esp], esp
mov     esi, dword_779B0708
mov     ecx, [ebp+ucb]
test    ecx, ecx

先看push offset stru_77991A20这条指令,在IsBadReadPtr函数入口处被压入栈中。stru_77991A20为SEH的scope table结构,它保存了当前函数中__try块相匹配的__except__finally的地址值。

stru_77991A20被保存在.rdata

.rdata:77991A20 stru_77991A20   dd 0FFFFFFFEh           ; GSCookieOffset
.rdata:77991A20                                         ; DATA XREF: IsBadReadPtr+7↑o
.rdata:77991A20                 dd 0                    ; GSCookieXOROffset ; SEH scope table for function 6B810100
.rdata:77991A20                 dd 0FFFFFFD0h           ; EHCookieOffset
.rdata:77991A20                 dd 0                    ; EHCookieXOROffset
.rdata:77991A20                 dd 0FFFFFFFEh           ; ScopeRecord.EnclosingLevel
.rdata:77991A20                 dd offset loc_77925269  ; ScopeRecord.FilterFunc
.rdata:77991A20                 dd offset loc_7792526F  ; ScopeRecord.HandlerFunc

C结构如下

struct _EH4_SCOPETABLE {
        DWORD GSCookieOffset;
        DWORD GSCookieXOROffset;
        DWORD EHCookieOffset;
        DWORD EHCookieXOROffset;
        _EH4_SCOPETABLE_RECORD ScopeRecord[1];
};
​
struct _EH4_SCOPETABLE_RECORD {
        DWORD EnclosingLevel;
        long (*FilterFunc)();
            union {
            void (*HandlerAddress)();
            void (*FinallyFunc)(); 
    };
};

其中FilterFuncFinallyFunc就是我们自定义的__except__finally函数的地址。

接着把异常处理添加到当前线程的栈中:

push    offset FindResourceExA_SEH
mov     eax, large fs:0
push    eax

...

lea     eax, [ebp+ms_exc.registration]
mov     large fs:0, eax

关于结构化异常处理的补充:
1.TIB结构,又称线程信息块,是保存线程基本信息的数据结构,它位于TEB的头部。TEB是操作系统为了保存每个线程的私有数据创建的,每个线程都有自己的TEB
TIB结构如下:

typedef struct _NT_TIB{
    struct _EXCEPTION_REGISTRATION_RECORD *Exceptionlist;//指向异常处理链表
    PVOID StackBase;//当前进程所使用的栈的栈底
    PVOID StackLimit;//当前进程所使用的栈的栈顶
    PVOID SubSystemTib;
    union {
        PVOID FiberData;
        ULONG Version;
    };
    PVOID ArbitraryUserPointer;
    struct _NT_TIB *Self;//指向TIB结构自身
} NT_TIB;

在这个结构中与异常处理有关的第一个成员:指向_EXCEPTION_REGISTRATION_RECORD结构的Exceptionlist指针
2.EXCEPTION_REGISTRATION_RECORD结构
该结构主要用于描述线程异常处理过程的地址,多个该结构的链表描述了多个线程异常处理过程的嵌套层次关系
结构如下:

typedef struct _EXCEPTION_REGISTRATION_RECORD{
    struct _EXCEPTION_REGISTRATION_RECORD *Next;//指向下一个结构的指针
    PEXCEPTION_ROUTINE Handler;//当前异常处理回调函数的地址
}EXCEPTION_REGISTRATION_RECORD;

结构
fs寄存器指向TEB结构,所以上面lea eax,[ebp+ms_exc.registration]mov large fs:0, eax指令也就是在栈中插入一个SEH异常处理结构体到TIB顶部, __except_handler4就是添加的系统默认异常处理回调函数,当发生异常时会首先执行它。

跟进stru_77991A20.ScopeRecord.FilterFunc()函数地址loc_77925269,可以看到:

; START OF FUNCTION CHUNK FOR IsBadReadPtr
loc_77925269:
mov     eax, 1
retn

按照意思还原成C代码:

long WINAPI FilterFunc(DWORD dwExceptionCode)

{
  return (dwExceptionCode == STATUS_ACCESS_VIOLATION)
             ? EXCEPTION_EXECUTE_HANDLER
             : EXCEPTION_CONTINUE_SEARCH;
}

之后根据IDA伪代码看检查内存可读的原理:

BOOL __stdcall IsBadReadPtr(const void *lp, UINT_PTR ucb)
{
  char begin_ptr; // t1
  char *begin_ptr_alignment; // edx
  int v4; // eax
  char v6; // t1
  unsigned int end_ptr; // [esp+14h] [ebp-1Ch]
  int end_ptr_alignment; // [esp+14h] [ebp-1Ch]

  if ( !ucb )
    return 0;
  if ( lp )
  {
    end_ptr = (unsigned int)lp + ucb - 1;
    if ( end_ptr >= (unsigned int)lp )
    {
      begin_ptr = *(_BYTE *)lp;
      // 对0x1000按位取反,然后位与运算,得到去余数后的整数地址作为起始地址标识符
      begin_ptr_alignment = (char *)((unsigned int)lp & -dword_779B0708);
      v4 = -dword_779B0708 & end_ptr;
      // 对0x1000按位取反,然后位与运算,得到去余数后的整数地址作为末尾地址标识符
      end_ptr_alignment = -dword_779B0708 & end_ptr;
      while ( begin_ptr_alignment != (char *)v4 )
      {
        begin_ptr_alignment += dword_779B0708;
        v6 = *begin_ptr_alignment;
        v4 = end_ptr_alignment;
      }
      return 0;
    }
  }
  return 1;
}

可见首尾地址按照0x1000字节做对其,并且是每次跨0x1000地址读取一个字节内容,检查完之后返回false,产生异常的话就会由FilterFunc接管,函数判断是读内存异常,就会返回true,因此优化后的完整代码应是:

long WINAPI FilterFunc(DWORD dwExceptionCode)

{
  return (dwExceptionCode == STATUS_ACCESS_VIOLATION)
             ? EXCEPTION_EXECUTE_HANDLER
             : EXCEPTION_CONTINUE_SEARCH;
}

BOOL __stdcall IsBadReadPtr_win32(const void* lp, UINT_PTR ucb) {
  char begin_ptr;        // t1
  char tmp_byte;         // t1
  unsigned int end_ptr;  // [esp+14h] [ebp-1Ch]
  void* iterator_ptr_alignment;
  void* end_ptr_alignment = 0;

  if (!ucb) return 0;
  __try {
    if (lp) {
      end_ptr = (unsigned int)lp + ucb - 1;
      if (end_ptr >= (unsigned int)lp) {
        begin_ptr = *(BYTE*)lp;
        iterator_ptr_alignment =
            (char*)((unsigned int)lp &
                    -0x1000);  // 对0x1000按位取反,然后位与运算,得到去余数后的整数地址作为起始地址标识符
        end_ptr_alignment = 
            (void*)(-0x1000 &
                    end_ptr);  // 对0x1000按位取反,然后位与运算,得到去余数后的整数地址作为末尾地址标识符
        while (iterator_ptr_alignment != (char*)end_ptr_alignment) {
          iterator_ptr_alignment =
              (void*)((int)iterator_ptr_alignment + 0x1000);
          tmp_byte = *(BYTE*)iterator_ptr_alignment;
        }
      }
    }
  } __except (FilterFunc(GetExceptionCode())) {
    return TRUE;
  }

  return FALSE;
}

参考:https://b0ldfrev.gitbook.io/note/pwn/windowsseh-li-yong

使用Windbg排查C++程序调用IsBadReadPtr或IsBadWritePtr引发内存访问违例问题
dvlinker的技术专栏
04-01 1万+
C++程序调用IsBadReadPtr或IsBadWritePtr引发内存访问违例问题的排查
【C++软件调试技术】C++软件开发维护过程中典型软件异常问题的排查与总结
dvlinker的技术专栏
04-15 16万+
本文以问答的方式进行展开,罗列了C++软件日常开发维护中遇到的多个软件调试问题及有代表性的场景,给出详细的处置思路处理办法,以供大家借鉴参考。
IsBadWritePtrIsBadreadPtr
q304929130的专栏
06-14 2238
函数原型: BOOL IsBadReadPtr(CONST VOID *lp,UINT_PTR ucb); 参数: lp 表示要检查的内存指针 ucb 要检查的内存块的大小 返回: 如果调用进程有权限访问该内存,返回0 否则,返回非0 说明: 该函数检查调用进程是否有读取指定内存的内容的权限,微软提供的32位操作系统下的API
IsBadReadPtr函数
sherlockhua的专栏
12-24 1万+
函数用来检查进程是否有权限访问指定的内存块。 The IsBadReadPtr function verifies that the calling process has read access to the specified range of memory.BOOL IsBadReadPtr(  const VOID* lp,  UINT_PTR ucb);
IsBadReadPtr
zacklin的专栏
05-18 6913
函数原型: BOOL IsBadReadPtr(CONST VOID *lp,UINT_PTR ucb); 参数: lp 表示要检查的内存指针 ucb 要检查的内存块的大小 返回: 如果调用进程有权限访问该内存,返回0 否则,返回非0 说明: 该函数检查调用进程是否有读取指定内存的内容的权限,微软提供的32位操作系统下的API
IsBadReadPtr|IsBadWritePtr调试崩溃
水晶鞋
07-20 5687
遇到一未找到必然出现条件的崩溃,不知道什么时候能触发崩溃,崩溃dump显示,试图访问了非法的内存或者写入了非法的内存 此时如下两个函数就比较有用了:   BOOL WINAPI IsBadReadPtr( __in const VOID *lp, __in UINT_PTR ucb ); BOOL WINAPI IsBadWritePtr( __in LPVO
IsBadReadPtr\IsBadWritePtr 调试 无法访问内存报错s的
vimga的博客
02-17 2350
程序里用到IsBadReadPtr(*,*)来进行内存是否可读的判断 按正常来讲,如果指向的内存块是可读的话。返回0,否则返回非0. 1.所有逻辑写好后,编译成dll放入程序,执行成功。 2.但是使用vs2015进行调试的时候,在该函数行报错,无法访问内存*** 在网上查阅相关资料于此总结: https://blogs.msdn.microsoft.com/oldnewthing/200
C++软件调试与异常排查从入门到精通专栏介绍与文章汇总
热门推荐
dvlinker的技术专栏
06-29 21万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
【C++软件调试技术】使用 Windbg 分析软件异常时的诸多细节与技巧总结
dvlinker的技术专栏
01-11 1万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结。
MiniDump文件的创建、分析堆栈信息、定位错误、查看异常处理信息
qq_35372804的博客
08-17 2554
1、MiniDump文件的创建:         创建miniDump的方法有很多。可以通过MiniDumpCreateDumpWin32Api创建。必要参数为EXCEPTION_POINTERS结构,获取这个结构可以通过在异常出通过GetExceptionInfomation函数API获取这个结构,也可以通过SetUnhandleExceptionFilter函数设置自定义异常处理函数(注意:...
Visual Studio高效调试手段与调试技巧总结
最新发布
dvlinker的技术专栏
06-11 1万+
本文详细讲述Visual Studio常用的高效调试手段与技巧。
【Delphi】Linux版的IsBadReadPtr
weixin_30845171的博客
12-17 365
linux上没有提供用户态的内存指针读写安全检测函数,这里使用异常包来简单实现IsBadReadPtr: {$IFDEF UNIX} function IsBadReadPtr(lp: Pointer; ucb: UINT): BOOL; stdcall; begin try while ucb>0 do begin if PChar(lp)...
Gloomy对Windows内核的分析(内核反汇编技术)
峥嵘岁月
01-31 3089
内核反汇编技术===============================Windows  NT主要是由C写成的,所以总的来说进程本身的反汇编不是很复杂。通常对局部变量参数的使用是通过地址用EBP形成的stack frame来进行的。例如:PAGE:801932D4    mov     eax, large fs:0PAGE:801932DA    push    ebpPAGE:
汇编语法
百里杨的博客
09-11 1078
1、通用寄存器 EAX,EBX,ECX,EDX,ESI,EDI,ESP,EBP, 它 们 的低 16 位就是 8086 的 AX,BX,CX,DX,SI,DI,SP,BP,它们的含义如下: EAX:累加器 EBX:基址寄存器(Base) ECX:计数器 EDX:数据寄存器(Data) ESI:源地址指针寄存器(Source) EDI:目
C/C++编程:原始指针is bad
OceanStar的博客
06-18 344
指向对象的原始指针不推荐使用,尤其当暴露给别的线程时。Observerable应当保存的不是原始的Observer *,而是别的什么东西,能分辨Observer 是否存活。类似的,如果Observer 要在析构函数里解注册,那么subject_的类型也不能是原始的Observerable* 有经验的C++程序员也许会想到智能指针。没错,这是正道,但也没那么简单,有些关窍需要注意。这两处直接使用shared_ptr是不行的,会形成循环引用,直接造成资源泄露 空悬指针 由两个指针p1p2,指向堆上的同一个
对esp的几种操作方法
yellow的博客
07-08 4034
函数的前3行代码常常是下面这种形式1、push  ebp2、mov   ebp,esp3,sub    esp, 0x0C      // 为函数栈开辟空间其中1、2行在不保存栈基址的函数中就没有。看下图中的特殊情况:add esp, 0xFFFFFF68  也是为函数栈分配空间,只不过换了另外一种形式。还有一种情况:第4行已经分配了栈空间了,第3行的and(不是add哦)是要干嘛?这个操作是怎...
反汇编中遇到的一些特殊的指令
吖吖狼 的专栏
10-24 1807
1、CDQ  CDQ 把原来的 EAX 扩展成 EDX:EAX (带正负值), 这个指令把 EAX 的第 31 bit 复制到 EDX 的每一个 bit 上。例如:         假设 EAX 是 FFFFFFFB (-5) ,它的第 31 bit (最左边) 是 1, 执行 CDQ 后, CDQ 把第 31 bit 复制至 EDX 所有 bit         EDX 变成 FFFFFF
VB ASM
zhangziyueup
05-13 186
=====================================Private Sub Form_Load() For i = 0 To 10 MsgBox "z5" Next iEnd Sub======================================; ----------------------------------------------------------...
C++ bad ptr 情形1例
Crazy Tortoise
01-10 1625
c++ 中对一块内存初始化可以使用 memset 函数,需要注意memset函数的参数 void *memset(void *s,int c,size_t n)  总的作用:将已开辟内存空间 s 的首 n 个字节的值设为值 c。 对于数组进行初始化, 参数3内存大小设置为sizeof(array) 就可以;而对于指针进行初始化,则需要 为sizeof(type) * n 求出确切的内存大小。
解决非法内存访问与提升暴力搜索效率
在暴力搜索内存时,恰当的异常处理可以防止程序崩溃并允许程序优雅地处理记录错误。 ### 压缩包子文件的文件名称列表知识点: #### code - **代码实现**:当提到"code"时,通常指的是包含用于执行特定任务的指令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值