當異常發生的處理流程：

CPU檢測到異常查IDT表執行中斷處理程序CommonDispatchExceptior(CxxThrowException RaiseException RtIRaiseException() NtRaiseException KiRaiseException)

KiDispatchException

KiUserExceptionDispatcher

RtIDispatchException

VEH

SEH

入口程序的最后一道防線

一個EXE程序main并不是真正的入口函數在它的上面還有別的函數調用它。

這里是才是一個進程真正開始執行的地方。

ida中搜索BaseProcessStart就能找到對應上面的代碼

然后mainCRTStartup();才是調用main的。

ctrl+G跳到轉到地址。

這里就能看到我們熟悉的代碼了。

就算你一個異常函數都不調用，編譯也會給我們注冊一個SEH鏈，找不到異常處理程序的這種情況是不存在的

線程啟動的最后一道防線

線程也不是從我們提供的那個函數開始執行的。

它的第一個Call進去就能看到熟悉的代碼。

ida中搜索BaseThradStart就能找到對應的函數

偽代碼

_try {} _except(UnhandledExceptionFilter(GetExceptionlnformation()) {//終止線程 //終止進程 } 如果UnhandledExceptionFilter(GetExceptionlnformation() 返回0那就是真正找不到對應的異常處理程序了， 但這中情況如果你的程序在沒有被 調試 的情況下是不會發生的 只有程序被調試時，才會存在未處理異常

UnhandledExceptionFilter(); 的執行流程:

通過 NtQueryinformationProcess 查詢當前進程是否正在被調試，如果被調試，返回EXCEPTION_CONTINUE_SEARCH（0）， 此時會進入第二輪分發

如果沒有被調試:

查詢是否通過SetUnhandledExceptionFilter注冊處理函數如果有就調用

如果沒有通過SetUnhandledExceptionFilter注冊處理函數彈出窗口讓用戶選擇終止程序還是啟動即時調試器

如果用戶沒有啟用即時調試器,那么該函數返回EXCEPTION_EXECUTE_HANDLER

LONG _stdcall callback(_EXCEPTION_POINTERS* excp) {excp->ContextRecord->Ecx = 1;return EXCEPTION_CONTINUE_EXECUTION; }int main() {//注冊一個最頂層異常處理函數SetUnhandledExceptionFilter(callback);//除0異常_asm{xor edx,edxxor ecx,ecxmov eax,0x10idiv ecx}//程序正常執行printf("程序執行");getchar(); }

放OD里程序執行到這 立馬退出

不附加調試器直接運行，程序正常運行

程序觸發異常它就會執行_except(UnhandledExceptionFilter(GetExceptionlnformation()里的過濾函數，NtQueryinformationProcess檢測自身是否被調試（這個函數其實就是檢測 _EPROCESS.DebugPort是否有值，有就是被調試了）， 被調試它就會直接返回 0 程序就報錯了。
（結合上面的UnhandledExceptionFilter的執行流程一起看）

總結

以上是生活随笔為你收集整理的7.未处理异常的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。