SetUnhandledExceptionFilter后不进入回调
SetUnhandledExceptionFilter
调用SetUnhandledExceptionFilter设置回调后,程序崩溃不进入回调。
VC++2005 开始出于安全因素微软改变了 CRT 的行为。在以下情况下 CRT 不会通知被注册的 Unhandled Exception Filter
- 调用了 abort() 并且设置 abort 的行为为 _CALL_REPORTFAULT(Release 版本默认使用此设置)
- Security Checks失败时,具体来说就是检查到一些会引发安全问题的堆栈溢出时不会通知被注册的 Unhandled Exception Filter,会引发安全问题的堆栈溢出包括:覆盖了函数的返回值,覆盖了 Exception handler 的地址,覆盖了某些类型的参数。关于编译器的 Security Checks 的内容,详细参考:http://msdn.microsoft.com/en-us/library/Aa290051(注意,此文章谈到的是 Visual Studio .NET 2003,其中_set_security_error_handler函数在 VC++2005 以及以上版本已经无法使用)
- 如果没有调用_set_invalid_parameter_handler设置 Invalid parameter handler 时,检查到了非法的参数
解决方案
CRT中调用SetUnhandledExceptionFilter(NULL);来取消调用崩溃处理回调,所以可以自己调用完SetUnhandledExceptionFilter()后再修改SetUnhandledExceptionFilter()的行为来禁止CRT调用。
x86 DisableSetUnhandledExceptionFilter
void DisableSetUnhandledExceptionFilter()
{
void *addr = (void *)GetProcAddress(LoadLibrary(L"kernel32.dll"), "SetUnhandledExceptionFilter");
if (!addr) {
return;
}
unsigned char code[16];
int size = 0;
code[size++] = 0x33;
code[size++] = 0xC0;
code[size++] = 0xC2;
code[size++] = 0x04;
code[size++] = 0x00;
DWORD dwOldFlag, dwTempFlag;
VirtualProtect(addr, size, PAGE_READWRITE, &dwOldFlag);
WriteProcessMemory(GetCurrentProcess(), addr, code, size, NULL);
VirtualProtect(addr, size, dwOldFlag, &dwTempFlag);
}x64 DisableSetUnhandledExceptionFilter
void DisableSetUnhandledExceptionFilter()
{
#ifndef _WIN64
system("cmd /K echo The following code only works for x64");
exit(EXIT_FAILURE);
#endif // _WIN64
void *addr = (void *)GetProcAddress(LoadLibrary(L"kernel32.dll"), "SetUnhandledExceptionFilter");
if (!addr) {
return;
}
unsigned char code[16];
int size = 0;
code[size++] = 0x48;
code[size++] = 0x31;
code[size++] = 0xC0;
code[size++] = 0xC3;
DWORD dwOldFlag, dwTempFlag;
VirtualProtect(addr, size, PAGE_READWRITE, &dwOldFlag);
WriteProcessMemory(GetCurrentProcess(), addr, code, size, NULL);
VirtualProtect(addr, size, dwOldFlag, &dwTempFlag);
}