初识VEH链（用户异常派发的进一步探究）

Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

初识VEH链（用户异常派发的进一步探究） 

　　VEH链是进程处理异常的一个非常重要的机制。

　　前面我们分析到用户异常进入内核之后会再次返回到R3层调用KeExceptionDispatcher函数尝试处理。

　　该函数的主要目的就是搜索VEH找到异常的解决方案，如果未找到会再次向零环抛出异常。

一、通过C代码来实现VEH挂载

　　如下代码，VEH是一个进程全局异常处理链表。

　　VEH只能处理单个进程的，后面的SEH在内核中处理全局的。

 // veh.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
 // #include "pch.h"
 #include <iostream>
 #include <Windows.h>
  LONG NTAPI MyVeH(struct _EXCEPTION_POINTERS *ExceptionInfo) {
      //
      // 检测到 c0000094 错误并进行处理.
      //
      if (ExceptionInfo->ExceptionRecord->ExceptionCode = 0xc0000094) {
          MessageBoxA(NULL, NULL, NULL, NULL);          //
          // 方法一：除法汇编代码占两个字节，EIP+2跳过即可
          //
          //ExceptionInfo->ContextRecord->Eip += 2;          //
          // 方法二：修改ECX寄存器(原来该寄存器为0）
          //
          ExceptionInfo->ContextRecord->Ecx = ;
          return EXCEPTION_CONTINUE_EXECUTION;      }
      return EXCEPTION_CONTINUE_SEARCH;
 }
 int main()
 {
     //
     // 将我们的异常处理函数挂在VEH头
     //
     AddVectoredExceptionHandler(TRUE, MyVeH);     //
     // 使用汇编代码产生c0000094除零错误
     //
     _asm {
         mov eax,
         mov ecx,
         idiv ecx
     }
     getchar();
     std::cout << "Hello World!\n";
 }

二、 AddVectoredExceptionHandler（ntdll.dll）反汇编代码解读

　　该注意，其挂载的MyVeH函数会进入内核进行加密，具体加密使用xor，秘钥通过系统当前时间来计算得。

1. 流程图

2. 反汇编代码解读

 .text:7C9625F9 ; START OF FUNCTION CHUNK FOR _RtlCallVectoredExceptionHandlers@
 .text:7C9625F9
 .text:7C9625F9 loc_7C9625F9:                           ; CODE XREF: RtlCallVectoredExceptionHandlers(x,x)+↑j
 .text:7C9625F9                 mov     eax, [ebp+arg_0]
 .text:7C9625FC                 push    ebx
 .text:7C9625FD                 push    esi
 .text:7C9625FE                 mov     [ebp+var_8], eax
 .text:7C962601                 mov     eax, [ebp+arg_4]
 .text:7C962604                 mov     ebx, offset _RtlpCalloutEntryLock
 .text:7C962609                 push    ebx
 .text:7C96260A                 mov     [ebp+var_4], eax
 .text:7C96260D                 call    _RtlEnterCriticalSection@ ; RtlEnterCriticalSection(x)
 .text:7C962612                 mov     esi, _RtlpCalloutEntryList
 .text:7C962618                 jmp     short loc_7C96262F
 .text:7C96261A ; ---------------------------------------------------------------------------
 .text:7C96261A
 .text:7C96261A loc_7C96261A:                           ; CODE XREF: RtlCallVectoredExceptionHandlers(x,x)+17D1D↓j
 .text:7C96261A                 push    dword ptr [esi+]
 .text:7C96261D                 call    _RtlDecodePointer@ ; RtlDecodePointer(x)
 .text:7C962622                 lea     ecx, [ebp+var_8]
 .text:7C962625                 push    ecx
 .text:7C962626                 call    eax
 .text:7C962628                 cmp     eax, 0FFFFFFFFh
 .text:7C96262B                 jz      short loc_7C962647
 .text:7C96262D                 mov     esi, [esi]
 .text:7C96262F
 .text:7C96262F loc_7C96262F:                           ; CODE XREF: RtlCallVectoredExceptionHandlers(x,x)+17D04↑j
 .text:7C96262F                 cmp     esi, edi
 .text:7C962631                 jnz     short loc_7C96261A
 .text:7C962633                 mov     byte ptr [ebp+arg_0+],
 .text:7C962637
 .text:7C962637 loc_7C962637:                           ; CODE XREF: RtlCallVectoredExceptionHandlers(x,x)+17D37↓j
 .text:7C962637                 push    ebx
 .text:7C962638                 call    _RtlLeaveCriticalSection@ ; RtlLeaveCriticalSection(x)
 .text:7C96263D                 mov     al, byte ptr [ebp+arg_0+]
 .text:7C962640                 pop     esi
 .text:7C962641                 pop     ebx
 .text:7C962642                 jmp     loc_7C94A92F
 .text:7C962647 ; ---------------------------------------------------------------------------
 .text:7C962647
 .text:7C962647 loc_7C962647:                           ; CODE XREF: RtlCallVectoredExceptionHandlers(x,x)+17D17↑j
 .text:7C962647                 mov     byte ptr [ebp+arg_0+],
 .text:7C96264B                 jmp     short loc_7C962637
 .text:7C96264B ; END OF FUNCTION CHUNK FOR _RtlCallVectoredExceptionHandlers@
 .text:7C96264D ; ---------------------------------------------------------------------------
 .text:7C96264D ; START OF FUNCTION CHUNK FOR _RtlAddVectoredExceptionHandler@
 .text:7C96264D
 .text:7C96264D loc_7C96264D:                           ; CODE XREF: RtlAddVectoredExceptionHandler(x,x)+3C↑j
 .text:7C96264D                 mov     eax, _RtlpCalloutEntryListBlink ; 挂在Veh链尾部
 .text:7C962652                 mov     [esi+_VECTORED_EXCEPTION_NODE.ListEntry.Flink], offset _RtlpCalloutEntryList
 .text:7C962658                 mov     [esi+_VECTORED_EXCEPTION_NODE.ListEntry.Blink], eax
 .text:7C96265B                 mov     [eax], esi
 .text:7C96265D                 mov     _RtlpCalloutEntryListBlink, esi
 .text:7C962663                 jmp     loc_7C956C53
 .text:7C962663 ; END OF FUNCTION CHUNK FOR _RtlAddVectoredExceptionHandler@
 .text:7C962668 ; ---------------------------------------------------------------------------
 .text:7C962668 ; START OF FUNCTION CHUNK FOR _RtlRemoveVectoredExceptionHandler@
 .text:7C962668
 .text:7C962668 loc_7C962668:                           ; CODE XREF: RtlRemoveVectoredExceptionHandler(x)+↑j
 .text:7C962668                 mov     eax, [eax]
 .text:7C96266A                 jmp     loc_7C956C85

三. 用户异常的派发

　　之前我们分析过用户的派发分析到 KiUserExceptionDispatcher(ntdll.dll) 函数，现在我们分析这个函数。

1. 流程图

2.反汇编代码有点多，就不发上来了。

四、 关于 Safe VEH机制（分析IsValidHander函数）

　　未完待续···