Всем привет!
Я занимаюсь написанием утилиты по автоматической распаковке запакованных файлов,
справился с WinUpack, NsPack, UPX, PeCompact, AsPack, Fsg и некоторыми другими.
Столкнулся со следующей проблемой:

где можно найти подробную инфу по много каскадным SEH?
статей на wasm.ru не достаточно.

В PeCompactе применяются seh, но однокаскадные, а если взятьYoda то сразу кранты
справиться не могу.

Еще проблема не могу разобраться что и в какой последовательности Windows помещает в стек
при возникновении исключения?

Заранее благодарен !!!

| Сообщение посчитали полезным:

Еще сопутствующий вопрос:
в док-ции по seh написано, если обработчик возвратил EXCEPTION_CONTINUE_SEARCH = 0,
то попробывать обработать исключение следующим обработчиком,
НО в PeCompact-e возникает исключение, после обработке, которого возвращается 0, но передать управление нужно программе.
В чем прикол?

| Сообщение посчитали полезным:

mag3d пишет:
EXCEPTION_CONTINUE_SEARCH = 0
0 = EXCEPTION_CONTINUE_EXECUTION
push SEH_frame
push dword [fs:0]
mov dword [fs:0], esp
int 3
<...>
SEH_frame:
mov eax, [esp+0Ch]
inc dword [eax+0B8h]
xor eax, eax
retn 4*4
И всё нормально работает.
Держи аттач, надеюсь английский знаешь хорошо, там даже про процесс передачи информации об исключении в отладчик и приложение есть (UnhandledExceptionFilter, BaseProcessStart - их псевдокоды) а также способы обнаружения отладчиков.


586e_24.04.2006_CRACKLAB.rU.tgz - SEHall.rar

| Сообщение посчитали полезным:

www.wasm.ru/article.php?article=Win32SEHPietrek1
www.wasm.ru/article.php?article=Win32SEHPietrek2
www.wasm.ru/article.php?article=Win32SEHPietrek3
www.wasm.ru/article.php?article=green2red03

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

аттач содержит исходники статьи с wasm.ru

| Сообщение посчитали полезным:

В статье: www.wasm.ru/article.php?article=green2red03
по поводу возврата управления идет путаница:
в рачале он говорит, что:
eax = 1 - ОС вызывает следующий обработчик в цепочке
eax = 0 - перезагружаем контекст и продолжаем,

далее по тексте идет путаница:
Обработчик возвращает 1 или константу ExceptionContinueExecution, чтобы сообщить операционной системе, что обработчик обработал исключение и необходимо продолжить выполнение программы в контексте указанной в структуре CONTEXT.

Так как правильно?
И мне непонятно всегда ли управление передается по занчением записанным в структуре CONTEXT,
или есть другие случае (в случае если исключение обработано)?

| Сообщение посчитали полезным:

mag3d ты не понял. Есть два вида SEH. Один локалный а второй финальный. И для каждого коды разные.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Хорошая статья:
www.wasm.ru/article.php?article=GordonExcept

Всем спасибо !!!

| Сообщение посчитали полезным:

Да, кстати, а VEH посмотреть не хочешь? В WinXp уже Vectored Exception Handler есть.
см. здесь: www.microsoft.com/rus/msdn/magazine/archive/2003-06/core_api_full.asp <--

| Сообщение посчитали полезным:

[блин, пост дублировался, почему-то была ошибка "Сервер не найден". Удалите моедраторы пожалуйста.]

| Сообщение посчитали полезным:

NullSession

второй раз говорю, SE Handler должен быть cdecl, иначе будет падать под 9x

| Сообщение посчитали полезным:

Asterix
Да, retn должно быть без последующих параметров. То есть не "retn 4", а "retn". А в первый раз ты это мне на васме говорил что ли?

| Сообщение посчитали полезным:

NullSession пишет:
А в первый раз ты это мне на васме говорил что ли?



| Сообщение посчитали полезным:

Ну да точно.
Имхо топик закрывать надо, ошибки исправлены, а mag3d ответы нашёл.

| Сообщение посчитали полезным: