RtlRaiseException(ntdll.dll)函数逆向

Posted onetrainee

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了RtlRaiseException(ntdll.dll)函数逆向相关的知识,希望对你有一定的参考价值。

书中内容:

   技术图片

代码逆向:

  1. CONTEXT是保存之前的函数(RaiseException)状态

  2. 在逆向上一个函数时产生一个疑问:EXCEPTION_RECORD.ExceptionAddress 为什么仅填写了一个偏移?

    答案:在该函数中,填写成 [ebp+4],上一个函数的返回地址。

  技术图片

 

 

 

 

 

以上是关于RtlRaiseException(ntdll.dll)函数逆向的主要内容,如果未能解决你的问题,请参考以下文章

如何判断一个dll是不是可以被劫持

Windows 异常机制

我的调试版dll使用了redistributable和crash的发布版

如何诊断由 IIS7 托管的 WCF 服务中的 W3WP.exe 错误