Windows异常处理机制深入解析

0x00 前言

Windows系统提供了完善的异常处理机制来保证系统内核和用户程序的强壮与稳定。理解异常处理机制对于深入掌握操作系统原理和软件调试技术至关重要。

0x01 异常执行流程概述

异常处理的基本流程分为三个阶段：

记录异常信息（类型、发生位置等）
寻找异常处理函数（异常分发）
调用找到的异常处理函数（异常处理）

异常主要分为两类：

CPU产生的异常（如除零错误）
软件模拟产生的异常

0x02 CPU异常处理流程

CPU异常处理步骤

CPU指令检测到异常：如除零操作
查IDT表执行中断处理函数：通过中断描述符表找到对应的处理函数
调用CommonDispatchException：构建_EXCEPTION_RECORD结构
KiDispatchException：分发异常，寻找处理函数

关键数据结构：_EXCEPTION_RECORD

typedef struct _EXCEPTION_RECORD {
    DWORD ExceptionCode;         // 异常代码
    DWORD ExceptionFlags;        // 异常状态
    struct _EXCEPTION_RECORD* ExceptionRecord; // 下一个异常
    PVOID ExceptionAddress;      // 异常发生地址
    DWORD NumberParameters;      // 附加参数个数
    ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS]; // 附加参数指针
} EXCEPTION_RECORD;

CPU异常：ExceptionFlags为0
软件调试异常：ExceptionFlags为1

0x03 软件模拟异常记录

调用过程

CxxThrowException
RaiseException(DWORD dwExceptionCode, DWORD dwExceptionFlags, DWORD nNumberOfArguments, const ULONG_PTR *lpArguments)
NTDLL.DLL!RtlRaiseException()
NT!NtRaiseException
NT!KiRaiseException

软件异常与CPU异常的区别

错误代码来源：
- CPU异常：通过寄存器传入
- 软件异常：固定错误代码（如E06D7363）
异常地址：
- CPU异常：记录发生异常的地址
- 软件异常：记录RaiseException函数地址

0x04 内核层异常处理流程

KiDispatchException函数处理流程

_KeContextFromKframes：将Trap_frame备份到context，为返回3环做准备
判断先前模式（0=内核调用，1=用户层调用）
检查是否是第一次机会
检查是否有内核调试器（如windbg）
如果没有或内核调试器不处理，调用RtlDispatchException
如果返回FALSE（未处理）：
- 再次检查内核调试器
- 无调试器则蓝屏

异常链表结构：_EXCEPTION_REGISTRATION_RECORD

typedef struct _EXCEPTION_REGISTRATION_RECORD {
    struct _EXCEPTION_REGISTRATION_RECORD *Next;
    PEXCEPTION_ROUTINE Handler;
} EXCEPTION_REGISTRATION_RECORD;

Next：指向下一个异常记录
Handler：指向异常处理函数

RtlDispatchException功能

遍历异常链表，依次调用异常处理函数
如果异常被处理（返回1），则终止遍历
如果所有处理函数都无法处理（返回0），继续后续流程

0x05 用户层异常处理流程

用户异常处理关键点

通过DbgkForwardException调用3环调试器
修改结构体（类似用户APC执行过程）
修改EIP为KeUserExceptionDispatcher函数地址
返回3环后执行KiUserExceptionDispatcher

两种异常返回3环的方式

CPU异常：
- 通过IRETD指令返回3环
模拟异常：
- 通过系统调用返回3环

KiUserExceptionDispatcher功能

调用用户层的RtlDispatchException（与内核层同名但不同模块）
这是异常处理的核心，负责处理用户层的异常

关键总结

异常处理是Windows稳定性的重要保障机制
CPU异常和软件异常在记录方式上有明显区别
内核层通过KiDispatchException统一处理两种异常
异常处理依赖于异常链表结构_EXCEPTION_REGISTRATION_RECORD
用户层异常最终由KiUserExceptionDispatcher处理
未被处理的异常最终会导致系统蓝屏

理解这些机制对于系统级编程、驱动开发和高级调试技术都至关重要。

Windows异常处理机制深入解析 0x00 前言 Windows系统提供了完善的异常处理机制来保证系统内核和用户程序的强壮与稳定。理解异常处理机制对于深入掌握操作系统原理和软件调试技术至关重要。 0x01 异常执行流程概述异常处理的基本流程分为三个阶段：记录异常信息（类型、发生位置等）寻找异常处理函数（异常分发）调用找到的异常处理函数（异常处理）异常主要分为两类： CPU产生的异常（如除零错误）软件模拟产生的异常 0x02 CPU异常处理流程 CPU异常处理步骤 CPU指令检测到异常：如除零操作查IDT表执行中断处理函数：通过中断描述符表找到对应的处理函数调用CommonDispatchException ：构建_ EXCEPTION_ RECORD结构 KiDispatchException ：分发异常，寻找处理函数关键数据结构：_ EXCEPTION_ RECORD CPU异常：ExceptionFlags为0 软件调试异常：ExceptionFlags为1 0x03 软件模拟异常记录调用过程 CxxThrowException RaiseException(DWORD dwExceptionCode, DWORD dwExceptionFlags, DWORD nNumberOfArguments, const ULONG_PTR *lpArguments) NTDLL.DLL!RtlRaiseException() NT!NtRaiseException NT!KiRaiseException 软件异常与CPU异常的区别错误代码来源： CPU异常：通过寄存器传入软件异常：固定错误代码（如E06D7363）异常地址： CPU异常：记录发生异常的地址软件异常：记录RaiseException函数地址 0x04 内核层异常处理流程 KiDispatchException函数处理流程 _KeContextFromKframes ：将Trap_ frame备份到context，为返回3环做准备判断先前模式（0=内核调用，1=用户层调用）检查是否是第一次机会检查是否有内核调试器（如windbg）如果没有或内核调试器不处理，调用 RtlDispatchException 如果返回FALSE（未处理）：再次检查内核调试器无调试器则蓝屏异常链表结构：_ EXCEPTION_ REGISTRATION_ RECORD Next ：指向下一个异常记录 Handler ：指向异常处理函数 RtlDispatchException功能遍历异常链表，依次调用异常处理函数如果异常被处理（返回1），则终止遍历如果所有处理函数都无法处理（返回0），继续后续流程 0x05 用户层异常处理流程用户异常处理关键点通过 DbgkForwardException 调用3环调试器修改结构体（类似用户APC执行过程）修改EIP为 KeUserExceptionDispatcher 函数地址返回3环后执行 KiUserExceptionDispatcher 两种异常返回3环的方式 CPU异常：通过IRETD指令返回3环模拟异常：通过系统调用返回3环 KiUserExceptionDispatcher功能调用用户层的 RtlDispatchException （与内核层同名但不同模块）这是异常处理的核心，负责处理用户层的异常关键总结异常处理是Windows稳定性的重要保障机制 CPU异常和软件异常在记录方式上有明显区别内核层通过KiDispatchException统一处理两种异常异常处理依赖于异常链表结构_ EXCEPTION_ REGISTRATION_ RECORD 用户层异常最终由KiUserExceptionDispatcher处理未被处理的异常最终会导致系统蓝屏理解这些机制对于系统级编程、驱动开发和高级调试技术都至关重要。