VEH异常调用链控制程序流程原理及分析

字数 5106 2025-10-01 14:05:45

Windows VEH异常处理机制原理与逆向工程应用详解

1. VEH 核心概念与机制

1.1 什么是VEH？

VEH（Vectored Exception Handling，向量化异常处理）是Windows操作系统提供的一种进程级的异常处理机制。它允许开发者在进程内注册一个或多个自定义的异常处理函数，这些函数能够捕获和处理该进程内任何线程发生的特定或所有异常。

1.2 VEH 与 SEH 的核心差异

理解VEH的关键在于将其与更常见的SEH（Structured Exception Handling，结构化异常处理）进行对比。

特性维度	SEH (结构化异常处理)	VEH (向量化异常处理)
作用范围	线程级。处理程序仅对其所属线程内发生的异常有效。	进程级。处理程序对进程内所有线程触发的异常都有效。
数据存储	异常处理链（`EXCEPTION_REGISTRATION_RECORD`）存储在线程的栈空间中。	异常处理程序以双向链表形式存储在进程的堆空间中。
执行优先级	较低。在调试器和VEH之后被调用。	较高。在调试器之后、SEH之前被调用。
注册方式	编译器关键字（`__try`/`__except`）或内联汇编（`fs:[0]`）。	通过Windows API `AddVectoredExceptionHandler` 动态注册。
稳定性	线程栈被破坏（如栈溢出）时，SEH链可能被篡改或失效。	存储在独立的堆中，不受线程栈状态影响，更加稳定可靠。

1.3 异常处理优先级顺序

当进程中发生异常时，Windows系统会按照固定的优先级顺序依次尝试处理：

调试器（如果存在）：异常首先被发送给附加的调试器（如x64dbg, OllyDbg）。调试器可以选择处理（EXCEPTION_CONTINUE_EXECUTION）或不予处理（EXCEPTION_CONTINUE_SEARCH）。
VEH处理程序：如果调试器未处理异常，系统将遍历VEH双向链表，从最后注册的（即链表头部的）处理程序开始调用。
SEH处理程序：如果所有VEH处理程序都未处理异常，系统才会遍历发生异常线程的SEH链（位于线程栈中）。
默认异常处理：如果SEH也未能处理，系统将触发默认的应用程序错误处理机制，通常表现为弹窗并终止进程。

这个优先级顺序是VEH在逆向工程中具有巨大价值的根本原因。

2. VEH 的使用方法

2.1 核心API

VEH的使用主要依赖于两个API函数：

注册VEH

PVOID AddVectoredExceptionHandler(
  ULONG                       First,
  PVECTORED_EXCEPTION_HANDLER Handler
);

参数 First:
- 1: 将处理程序添加到VEH链表的头部。这意味着它将被优先调用，拥有最高优先级。
- 0: 将处理程序添加到VEH链表的尾部。优先级最低。
参数 Handler: 指向你自定义的VEH异常处理函数的指针。
返回值: 成功返回一个句柄，用于后续卸载；失败返回NULL。

卸载VEH

ULONG RemoveVectoredExceptionHandler(
  PVOID Handle
);

参数 Handle: AddVectoredExceptionHandler 返回的句柄。
返回值: 成功返回非零值。

2.2 VEH处理程序函数原型

你的自定义处理函数必须遵循以下原型：

LONG NTAPI MyVectoredExceptionHandler(PEXCEPTION_POINTERS ExceptionInfo);

调用约定: 必须使用 NTAPI（通常是 __stdcall）。
参数 ExceptionInfo: 这是最关键的参数，它是一个指向 EXCEPTION_POINTERS 结构体的指针，包含了异常的所有信息。

深入 `EXCEPTION_POINTERS` 结构

typedef struct _EXCEPTION_POINTERS {
  PEXCEPTION_RECORD ExceptionRecord; // 异常记录信息
  PCONTEXT          ContextRecord;    // 异常发生时的线程上下文（寄存器状态）
} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

ExceptionRecord (EXCEPTION_RECORD):
- ExceptionCode: 异常代码。用于判断异常类型。
  - 0xC0000094: EXCEPTION_INT_DIVIDE_BY_ZERO (整数除零)
  - 0xC0000005: EXCEPTION_ACCESS_VIOLATION (访问违规，如读写无效内存)
  - 0x80000003: EXCEPTION_BREAKPOINT (断点异常，如 int 3)
  - 0xE06D7363: Microsoft C++ 异常 (throw)
- ExceptionAddress: 引发异常的指令地址。
- ExceptionInformation: 提供额外信息的数组。例如对于访问违规（0xC0000005），ExceptionInformation[0] 表示读/写（0为读，1为写），ExceptionInformation[1] 表示违规的内存地址。
ContextRecord (CONTEXT):
- 这是一个包含异常发生时所有CPU寄存器状态（EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI, EIP等）的结构体。
- 这是VEH的灵魂所在。在逆向工程中，你可以修改这个结构体里的值（例如修改EIP来改变执行流程，修改EAX来改变返回值），从而控制程序行为。

2.3 处理程序的返回值

VEH处理程序必须返回以下两个值之一：

EXCEPTION_CONTINUE_EXECUTION (-1):
- 表示异常已处理。
- 系统将使用修改后的 ContextRecord 中的寄存器状态，从异常发生处继续执行。
- 注意：如果你没有真正修复导致异常的原因（例如，访问违规的地址仍然不可写），返回此值会导致相同的异常立即再次触发，形成死循环。
EXCEPTION_CONTINUE_SEARCH (0):
- 表示未处理此异常。
- 系统将继续调用VEH链表中的下一个处理程序，如果所有VEH都返回此值，则最终会交给SEH处理。

3. 代码实例分析

3.1 示例1：处理除零错误并修复

#include <windows.h>
#include <stdio.h>

// 自定义的VEH处理函数
LONG NTAPI VEH_Handler(PEXCEPTION_POINTERS ExceptionInfo) {
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_INT_DIVIDE_BY_ZERO) {
        printf("[VEH] 捕获到除零错误！正在修复...\n");
        // 关键：修改上下文中的ECX寄存器，将除数0改为1
        ExceptionInfo->ContextRecord->Ecx = 1; 
        // 告知系统异常已修复，请继续执行
        return EXCEPTION_CONTINUE_EXECUTION; 
    }
    // 如果不是除零错误，则交给其他处理程序
    return EXCEPTION_CONTINUE_SEARCH; 
}

int main() {
    // 注册VEH到链表头部（高优先级）
    PVOID hVEH = AddVectoredExceptionHandler(1, VEH_Handler);

    int a = 100;
    int b = 0;
    printf("计算 %d / %d ...\n", a, b);

    // 内联汇编触发除零异常
    __asm {
        mov eax, a
        mov ecx, b 
        idiv ecx    // 执行 idiv ecx，因为ecx=0，这里会触发异常
        mov a, eax
    }

    printf("结果是: %d\n", a); // 由于VEH修复，程序不会崩溃，并能打印出结果100
    printf("程序正常结束。\n");

    RemoveVectoredExceptionHandler(hVEH);
    return 0;
}

执行流程:

main 函数注册 VEH。
执行 idiv ecx（除数为0），触发异常。
系统优先调用 VEH_Handler。
VEH 检测到是除零错误（0xC0000094），将 ContextRecord->Ecx 从0改为1。
VEH 返回 EXCEPTION_CONTINUE_EXECUTION。
系统使用修改后的上下文（ecx=1）重新执行 idiv ecx 指令，计算 100 / 1。
程序继续执行，正常输出结果。

3.2 示例2：验证VEH与SEH的优先级

#include <windows.h>
#include <stdio.h>

LONG NTAPI TopVEH(PEXCEPTION_POINTERS ExceptionInfo) {
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_ACCESS_VIOLATION) {
        printf("[VEH] 优先处理了访问违规异常！\n");
        // 修复异常：跳过导致异常的指令
        ExceptionInfo->ContextRecord->Eip += 2; // 假设导致异常的指令长度为2字节
        return EXCEPTION_CONTINUE_EXECUTION;
    }
    return EXCEPTION_CONTINUE_SEARCH;
}

int main() {
    PVOID hVEH = AddVectoredExceptionHandler(1, TopVEH);

    // SEH处理
    __try {
        printf("准备触发访问违规...\n");
        int* pBadPtr = NULL;
        *pBadPtr = 1234; // 向NULL指针写入，触发0xC0000005异常
    }
    __except(EXCEPTION_EXECUTE_HANDLER) {
        printf("[SEH] 处理了异常。\n");
    }

    printf("程序继续执行。\n");
    RemoveVectoredExceptionHandler(hVEH);
    return 0;
}

执行结果:
输出为：

准备触发访问违规...
[VEH] 优先处理了访问违规异常！
程序继续执行。

结论：VEH在SEH之前捕获并处理了异常，因此 __except 块内的代码永远不会被执行，这直观地证明了VEH的更高优先级。

4. VEH在逆向工程中的应用

4.1 隐形断点（Exception Breakpoints）

问题：传统调试器的软件断点（INT 3 / 0xCC）和硬件断点（调试寄存器 Dr0-Dr3）容易被反调试技术检测或干扰。

VEH解决方案：

定位：找到关键函数地址（如 0x00401000）。
篡改：将该地址的指令临时替换为一条必然触发异常的指令（例如 div ecx，并确保 ecx 为0），或者使用一个罕见的、自定义的 INT 指令（如 INT 0x29）。
注册VEH：编写VEH处理程序，检测特定的异常代码和地址。
拦截与分析：当执行流到达关键地址，触发异常，VEH被调用。此时可以在VEH函数中：
- dump内存、寄存器状态。
- 单步跟踪。
- 执行自定义分析逻辑。
恢复与继续：在VEH中，将原始指令字节写回，并设置 ContextRecord->Eip 指向原始地址，然后返回继续执行。对程序而言，就像什么都没发生一样，极难被察觉。

优势：无需调试器介入，完全在进程内部完成，隐蔽性极强。

4.2 内存访问保护与监控

场景：保护一个存放了加密密钥的内存区域 [0x400000, 0x40000F]，防止被程序的其他部分意外修改或被恶意代码读取。

步骤：

使用 VirtualProtect 将该内存页设置为 PAGE_READONLY（只读）。
注册VEH处理程序，监控 EXCEPTION_ACCESS_VIOLATION。
当有指令尝试写入该区域时，触发异常，VEH被调用。
在VEH中：
- 检查 ExceptionInfo->ExceptionRecord->ExceptionInformation[1] 判断违规地址是否在我们的保护范围内。
- 如果是合法写入（如我们自己知道的解密例程），则临时用 VirtualProtect 切换页面为 PAGE_READWRITE，返回 EXCEPTION_CONTINUE_EXECUTION 让写入操作完成，随后立即恢复为 PAGE_READONLY。
- 如果是非法写入，可以记录日志、终止线程或返回 EXCEPTION_CONTINUE_SEARCH 让程序崩溃。

4.3 程序崩溃修复（动态补丁）

场景：分析的程序在特定情况下会因空指针调用而崩溃，但静态修改二进制文件很困难（加壳、混淆）。

步骤：

通过调试找到崩溃地址（如 0x00401234，指令是 call dword ptr [eax]，且 eax 为0）。
注册VEH，监控该地址的 EXCEPTION_ACCESS_VIOLATION。

当异常触发时，在VEH中：

if (ExceptionInfo->ExceptionRecord->ExceptionAddress == (PVOID)0x00401234) {
    // 方案A：跳过崩溃的调用
    ExceptionInfo->ContextRecord->Eip += 2; // 假设call指令占2字节

    // 方案B：提供一个合法的函数指针替换
    // ExceptionInfo->ContextRecord->Eax = (DWORD)&MySafeFunction;

    return EXCEPTION_CONTINUE_EXECUTION;
}

程序得以继续运行，便于后续分析。

4.4 反反调试与VEH劫持

场景：目标程序使用VEH进行反调试（例如，注册VEH来检测调试器）。

对抗手段：VEH劫持。

定位VEH链表：VEH链表存储在进程堆中。可以通过分析 AddVectoredExceptionHandler 的底层实现或使用调试器在调用后搜索内存来找到链表头指针的地址。
遍历链表：编写代码遍历VEH双向链表，识别出目标程序的反调试VEH处理函数（通过函数地址范围、代码特征等）。
篡改链表：
- 卸载：直接调用 RemoveVectoredExceptionHandler 卸载它（如果能有其句柄）。
- 摘除：直接修改链表节点的 Flink 和 Blink 指针，将目标VEH节点从链表中“摘除”。
- 前置：注册一个更高优先级（First=1）的自定义VEH，在其内部对异常信息进行伪装后再返回 EXCEPTION_CONTINUE_SEARCH，欺骗后续的反调试VEH。

5. 注意事项与最佳实践

避免死循环：在VEH处理程序中，如果返回 EXCEPTION_CONTINUE_EXECUTION，必须确保已彻底修复导致异常的原因。否则会立即再次触发异常，形成死循环。建议添加重试计数器机制。
注意线程安全：VEH链表是全局的，但在多线程环境下动态注册/卸载VEH可能需考虑同步问题。
保持简洁高效：VEH处理程序在异常上下文中执行，应避免调用复杂的系统函数或C运行时库函数，这可能引发新的异常。
对抗检测：高级保护方案会检测VEH链表的完整性或是否存在未知的VEH。可以通过混淆VEH处理函数、将其注入到系统模块（如kernel32.dll）的代码空洞中等方式来隐藏。

6. 总结

VEH是Windows平台上一种强大而灵活的异常处理机制。对于逆向工程师和安全研究人员而言，它远不止一个错误处理工具，更是实现隐形调试、行为监控、漏洞利用和对抗保护的利器。掌握VEH意味着你能够以一种更底层、更隐蔽的方式干预和控制目标程序的执行流程，是高级Windows逆向工程中不可或缺的核心技术。

核心要点再总结：

进程级、高优先级，先于SEH执行。
通过 AddVectoredExceptionHandler 注册。
处理程序接收 PEXCEPTION_POINTERS 参数，内含异常信息和最重要的线程上下文。
通过修改上下文（如EIP, EAX）并返回 EXCEPTION_CONTINUE_EXECUTION 来修复异常并控制程序流。
在逆向中广泛应用于隐形断点、内存保护、动态补丁和反反调试。

Windows VEH异常处理机制原理与逆向工程应用详解 1. VEH 核心概念与机制 1.1 什么是VEH？ VEH（Vectored Exception Handling，向量化异常处理）是Windows操作系统提供的一种进程级的异常处理机制。它允许开发者在进程内注册一个或多个自定义的异常处理函数，这些函数能够捕获和处理该进程内任何线程发生的特定或所有异常。 1.2 VEH 与 SEH 的核心差异理解VEH的关键在于将其与更常见的SEH（Structured Exception Handling，结构化异常处理）进行对比。 | 特性维度 | SEH (结构化异常处理) | VEH (向量化异常处理) | | :--- | :--- | :--- | | 作用范围 | 线程级。处理程序仅对其所属线程内发生的异常有效。 | 进程级。处理程序对进程内所有线程触发的异常都有效。 | | 数据存储 | 异常处理链（ EXCEPTION_REGISTRATION_RECORD ）存储在线程的栈空间中。 | 异常处理程序以双向链表形式存储在进程的堆空间中。 | | 执行优先级 | 较低。在调试器和VEH之后被调用。 | 较高。在调试器之后、SEH之前被调用。 | | 注册方式 | 编译器关键字（ __try / __except ）或内联汇编（ fs:[0] ）。 | 通过Windows API AddVectoredExceptionHandler 动态注册。 | | 稳定性 | 线程栈被破坏（如栈溢出）时，SEH链可能被篡改或失效。 | 存储在独立的堆中，不受线程栈状态影响，更加稳定可靠。 | 1.3 异常处理优先级顺序当进程中发生异常时，Windows系统会按照固定的优先级顺序依次尝试处理：调试器（如果存在）：异常首先被发送给附加的调试器（如x64dbg, OllyDbg）。调试器可以选择处理（ EXCEPTION_CONTINUE_EXECUTION ）或不予处理（ EXCEPTION_CONTINUE_SEARCH ）。 VEH处理程序：如果调试器未处理异常，系统将遍历 VEH双向链表，从最后注册的（即链表头部的）处理程序开始调用。 SEH处理程序：如果所有VEH处理程序都未处理异常，系统才会遍历发生异常线程的 SEH链（位于线程栈中）。默认异常处理：如果SEH也未能处理，系统将触发默认的应用程序错误处理机制，通常表现为弹窗并终止进程。这个优先级顺序是VEH在逆向工程中具有巨大价值的根本原因。 2. VEH 的使用方法 2.1 核心API VEH的使用主要依赖于两个API函数：注册VEH 参数 First : 1 : 将处理程序添加到VEH链表的头部。这意味着它将被优先调用，拥有最高优先级。 0 : 将处理程序添加到VEH链表的尾部。优先级最低。参数 Handler : 指向你自定义的VEH异常处理函数的指针。返回值 : 成功返回一个句柄，用于后续卸载；失败返回 NULL 。卸载VEH 参数 Handle : AddVectoredExceptionHandler 返回的句柄。返回值 : 成功返回非零值。 2.2 VEH处理程序函数原型你的自定义处理函数必须遵循以下原型：调用约定 : 必须使用 NTAPI （通常是 __stdcall ）。参数 ExceptionInfo : 这是最关键的参数，它是一个指向 EXCEPTION_POINTERS 结构体的指针，包含了异常的所有信息。深入 EXCEPTION_POINTERS 结构 ExceptionRecord ( EXCEPTION_RECORD ): ExceptionCode : 异常代码。用于判断异常类型。 0xC0000094 : EXCEPTION_ INT_ DIVIDE_ BY_ ZERO (整数除零) 0xC0000005 : EXCEPTION_ ACCESS_ VIOLATION (访问违规，如读写无效内存) 0x80000003 : EXCEPTION_ BREAKPOINT (断点异常，如 int 3 ) 0xE06D7363 : Microsoft C++ 异常 ( throw ) ExceptionAddress : 引发异常的指令地址。 ExceptionInformation : 提供额外信息的数组。例如对于访问违规（ 0xC0000005 ）， ExceptionInformation[0] 表示读/写（0为读，1为写）， ExceptionInformation[1] 表示违规的内存地址。 ContextRecord ( CONTEXT ): 这是一个包含异常发生时所有CPU寄存器状态（EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI, EIP等）的结构体。这是VEH的灵魂所在。在逆向工程中，你可以修改这个结构体里的值（例如修改 EIP 来改变执行流程，修改 EAX 来改变返回值），从而控制程序行为。 2.3 处理程序的返回值 VEH处理程序必须返回以下两个值之一： EXCEPTION_CONTINUE_EXECUTION ( -1 ): 表示异常已处理。系统将使用修改后的 ContextRecord 中的寄存器状态，从异常发生处继续执行。注意：如果你没有真正修复导致异常的原因（例如，访问违规的地址仍然不可写），返回此值会导致相同的异常立即再次触发，形成死循环。 EXCEPTION_CONTINUE_SEARCH ( 0 ): 表示未处理此异常。系统将继续调用VEH链表中的下一个处理程序，如果所有VEH都返回此值，则最终会交给SEH处理。 3. 代码实例分析 3.1 示例1：处理除零错误并修复执行流程 : main 函数注册 VEH。执行 idiv ecx （除数为0），触发异常。系统优先调用 VEH_Handler 。 VEH 检测到是除零错误（ 0xC0000094 ），将 ContextRecord->Ecx 从0改为1。 VEH 返回 EXCEPTION_CONTINUE_EXECUTION 。系统使用修改后的上下文（ ecx=1 ）重新执行 idiv ecx 指令，计算 100 / 1 。程序继续执行，正常输出结果。 3.2 示例2：验证VEH与SEH的优先级执行结果 : 输出为：结论：VEH在SEH之前捕获并处理了异常，因此 __except 块内的代码永远不会被执行，这直观地证明了VEH的更高优先级。 4. VEH在逆向工程中的应用 4.1 隐形断点（Exception Breakpoints）问题：传统调试器的软件断点（ INT 3 / 0xCC ）和硬件断点（调试寄存器 Dr0-Dr3 ）容易被反调试技术检测或干扰。 VEH解决方案：定位：找到关键函数地址（如 0x00401000 ）。篡改：将该地址的指令临时替换为一条必然触发异常的指令（例如 div ecx ，并确保 ecx 为0），或者使用一个罕见的、自定义的 INT 指令（如 INT 0x29 ）。注册VEH ：编写VEH处理程序，检测特定的异常代码和地址。拦截与分析：当执行流到达关键地址，触发异常，VEH被调用。此时可以在VEH函数中： dump内存、寄存器状态。单步跟踪。执行自定义分析逻辑。恢复与继续：在VEH中，将原始指令字节写回，并设置 ContextRecord->Eip 指向原始地址，然后返回继续执行。对程序而言，就像什么都没发生一样，极难被察觉。优势：无需调试器介入，完全在进程内部完成，隐蔽性极强。 4.2 内存访问保护与监控场景：保护一个存放了加密密钥的内存区域 [0x400000, 0x40000F] ，防止被程序的其他部分意外修改或被恶意代码读取。步骤：使用 VirtualProtect 将该内存页设置为 PAGE_READONLY （只读）。注册VEH处理程序，监控 EXCEPTION_ACCESS_VIOLATION 。当有指令尝试写入该区域时，触发异常，VEH被调用。在VEH中：检查 ExceptionInfo->ExceptionRecord->ExceptionInformation[1] 判断违规地址是否在我们的保护范围内。如果是合法写入（如我们自己知道的解密例程），则临时用 VirtualProtect 切换页面为 PAGE_READWRITE ，返回 EXCEPTION_CONTINUE_EXECUTION 让写入操作完成，随后立即恢复为 PAGE_READONLY 。如果是非法写入，可以记录日志、终止线程或返回 EXCEPTION_CONTINUE_SEARCH 让程序崩溃。 4.3 程序崩溃修复（动态补丁）场景：分析的程序在特定情况下会因空指针调用而崩溃，但静态修改二进制文件很困难（加壳、混淆）。步骤：通过调试找到崩溃地址（如 0x00401234 ，指令是 call dword ptr [eax] ，且 eax 为0）。注册VEH，监控该地址的 EXCEPTION_ACCESS_VIOLATION 。当异常触发时，在VEH中：程序得以继续运行，便于后续分析。 4.4 反反调试与VEH劫持场景：目标程序使用VEH进行反调试（例如，注册VEH来检测调试器）。对抗手段：VEH劫持。定位VEH链表：VEH链表存储在进程堆中。可以通过分析 AddVectoredExceptionHandler 的底层实现或使用调试器在调用后搜索内存来找到链表头指针的地址。遍历链表：编写代码遍历VEH双向链表，识别出目标程序的反调试VEH处理函数（通过函数地址范围、代码特征等）。篡改链表：卸载：直接调用 RemoveVectoredExceptionHandler 卸载它（如果能有其句柄）。摘除：直接修改链表节点的 Flink 和 Blink 指针，将目标VEH节点从链表中“摘除”。前置：注册一个更高优先级（ First=1 ）的自定义VEH，在其内部对异常信息进行伪装后再返回 EXCEPTION_CONTINUE_SEARCH ，欺骗后续的反调试VEH。 5. 注意事项与最佳实践避免死循环：在VEH处理程序中，如果返回 EXCEPTION_CONTINUE_EXECUTION ，必须确保已彻底修复导致异常的原因。否则会立即再次触发异常，形成死循环。建议添加重试计数器机制。注意线程安全：VEH链表是全局的，但在多线程环境下动态注册/卸载VEH可能需考虑同步问题。保持简洁高效：VEH处理程序在异常上下文中执行，应避免调用复杂的系统函数或C运行时库函数，这可能引发新的异常。对抗检测：高级保护方案会检测VEH链表的完整性或是否存在未知的VEH。可以通过混淆VEH处理函数、将其注入到系统模块（如 kernel32.dll ）的代码空洞中等方式来隐藏。 6. 总结 VEH是Windows平台上一种强大而灵活的异常处理机制。对于逆向工程师和安全研究人员而言，它远不止一个错误处理工具，更是实现隐形调试、行为监控、漏洞利用和对抗保护的利器。掌握VEH意味着你能够以一种更底层、更隐蔽的方式干预和控制目标程序的执行流程，是高级Windows逆向工程中不可或缺的核心技术。核心要点再总结：进程级、高优先级，先于SEH执行。通过 AddVectoredExceptionHandler 注册。处理程序接收 PEXCEPTION_POINTERS 参数，内含异常信息和最重要的线程上下文。通过修改上下文（如 EIP , EAX ）并返回 EXCEPTION_CONTINUE_EXECUTION 来修复异常并控制程序流。在逆向中广泛应用于隐形断点、内存保护、动态补丁和反反调试。