Win32结构化异常处理（SEH）探秘(上)

让我们来看一下系统是在什么时候插入了这个默认的、最后一个异常处理程序。很明显它需要在线程执行的早期，在任何用户代码开始执行之前。

下面是我为 BaseProcessStart 函数写的伪代码。它是 Windows NT KERNEL32.DLL 的一个内部例程。这个函数带一个参数——线程入口点函数的地址。BaseProcessStart 运行在新进程的上下文环境中，并且从该进程的第一个线程的入口点函数开始执行。　

　BaseProcessStart　伪码
　BaseProcessStart(　PVOID　lpfnEntryPoint　)
　{
　　　DWORD　retValue
　　　DWORD　currentESP;
　　　DWORD　exceptionCode;
　　　currentESP　=　ESP;
　　　_try
　　　{
　　　　　NtSetInformationThread(　GetCurrentThread(),
　　　　　　　　　　　　　　　　　ThreadQuerySetWin32StartAddress,
　　　　　　　　　　　　　　　　　&lpfnEntryPoint,　sizeof(lpfnEntryPoint)　);
　　　　　retValue　=　lpfnEntryPoint();
　　　　　ExitThread(　retValue　);
　　　}
　　　_except(//　过滤器-表达式代码
　　　　　　　exceptionCode　=　GetExceptionInformation(),
　　　　　　　UnhandledExceptionFilter(　GetExceptionInformation()　)　)
　　　{
　　　　　ESP　=　currentESP;
　　　　　if　(　!_BaseRunningInServerProcess　)　　　　　//　常规进程
　　　　　　　ExitProcess(　exceptionCode　);
　　　　　else　　　　　　　　　　　　　　　　　　　　//　服务
　　　　　　　ExitThread(　exceptionCode　);
　　　}
　}

在这段伪码中，注意对 lpfnEntryPoint 的调用被封装在一个__try 和 __except 块中。正是此__try 块安装了默认的、异常处理程序链表上的最后一个异常处理程序。所有后来注册的异常处理程序都被安装在此链表中这个结点的前面。如果 lpfnEntryPoint 函数返回，那么表明线程一直运行到完成并且没有引发异常。这时 BaseProcessStart 调用 ExitThread 使线程退出。

另一方面，如果线程引发了一个异常但是没有异常处理程序来处理它时，该怎么办呢？这时，执行流程转到 __except 关键字后面的括号中。在 BaseProcessStart 中，这段代码调用 UnhandledExceptionFilter 这个 API，稍后我会讲到它。现在对于我们来说，重要的是 UnhandledExceptionFilter 这个API包含了默认的异常处理程序。

如果 UnhandledExceptionFilter 返回 EXCEPTION_EXECUTE_HANDLER，这时 BaseProcessStart 中的__except 块开始执行。而__except块所做的只是调用 ExitProcess 函数去终止当前进程。稍微想一下你就会理解了。常识告诉我们，如果一个进程引发了一个错误而没有异常处理程序去处理它，这个进程就会被系统终止。你在伪代码中看到的正是这些。

对于上述内容我还有一点要补充。如果引发错误的线程是作为服务来运行的，并且是基于线程的服务，那么__except 块并不调用 ExitProcess，而是调用 ExitThread。不能仅仅因为一个服务出错就终止整个服务进程。

UnhandledExceptionFilter 中的默认异常处理程序都做了什么呢？当我在一个技术讲座上问起这个问题时，响应者寥寥无几。几乎没有人知道当未处理异常发生时，到底操作系统的默认行为是什么。简单地演示一下这个默认的行为也许会让很多人豁然开朗。我运行一个故意引发错误的程序，其

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!