问题
你的程序闪退了,你跑到SetUnhandledExceptionFilter写MiniDump文件的地方一看,发现空空如也,没有抓到崩溃日志文件,完全没有按你期望那样,怎么办?
SetUnhandledExceptionFilter有缺陷,抓得不够多,你搞个内存写入异常,它会给你拦截下来,但是遇到堆栈溢出,就没招了,还有range异常,abort()....都没拦下来。
解决办法
这些问题我找了全网,包括国内国外的,找到一些解决abort之类的,还有堆栈溢出之类的crt相关的几个异常没见人有什么好方法。只要自己研究,最后把方法分享一下。
原理就是把几个crt的几个fastfail的异常错误函数给篡改了,让他们都直接运行我新的代码(俗话说的hook),不要让它们再调用系统的WER了。
支持X86和X6,弄了之后测试了没问题。现在已经投入我的程序中使用。
代码参考
参考一下代码:
定义和调用:
extern __declspec(noinline) void __cdecl __report_securityfailure(ULONG failure_code);
extern __declspec(noreturn) void __cdecl __report_rangecheckfailure();
extern __declspec(noreturn) void __cdecl __report_gsfailure(uintptr_t stack_cookie);
tprogresscrash::PreventFuncall(&__report_gsfailure, &my__report_gsfailure);
tprogresscrash::PreventFuncall(&__report_rangecheckfailure, &my__report_rangecheckfailure);
tprogresscrash::PreventFuncall(&__report_securityfailure, &my__report_securityfailure);
关键实现函数:
static BOOL PreventFuncall(void *oldfun,void *newfun) {
void* pOrgEntry = oldfun;
if (pOrgEntry == NULL) return FALSE;
DWORD dwOldProtect = 0;SIZE_T jmpSize = 5;
#ifdef _M_X64
jmpSize = 13;
#endif
BOOL bProt = VirtualProtect(pOrgEntry, jmpSize,
PAGE_EXECUTE_READWRITE, &dwOldProtect);
BYTE newJump[20];
void* pNewFunc = newfun;
#ifdef _M_IX86
DWORD dwOrgEntryAddr = (DWORD)pOrgEntry;
dwOrgEntryAddr += jmpSize;
DWORD dwNewEntryAddr = (DWORD)pNewFunc;
DWORD dwRelativeAddr = dwNewEntryAddr - dwOrgEntryAddr;
newJump[0] = 0xE9;
memcpy(&newJump[1], &dwRelativeAddr, sizeof(pNewFunc));
#elif _M_X64
newJump[0] = 0x49;newJump[1] = 0xBB;
memcpy(&newJump[2], &pNewFunc, sizeof(pNewFunc));
newJump[10] = 0x41;newJump[11] = 0xFF;newJump[12] = 0xE3;
#endif
SIZE_T bytesWritten;
BOOL bRet = WriteProcessMemory(GetCurrentProcess(),pOrgEntry, newJump, jmpSize, &bytesWritten);
if (bProt != FALSE) {
DWORD dwBuf;VirtualProtect(pOrgEntry, jmpSize, dwOldProtect, &dwBuf);
}
return bRet;
}