- cpu执行时发生并捕获异常,内核接过进程的控制权,开始内核态的异常处理。
- 内核异常处理结束,把控制权交ring3层。
- ring3中的第一个处理异常的函数是ntdll.dll中的KiUserExceptionDispatcher()函数。
- KiUserExceptionDispatcher()函数首先检查程序是否处在调试的状态,如果程序正在被调试,会将异常交给调试器来进行处理。
- 在非调试的状态下,KiUserExceptionDisPatcher()调用RtlDispatchException()函数对线程的SEH链表进行遍历,如果找到能够处理的异常的回调函数,将再次遍历先前的SEH句柄,即unwind操作,以保证异常处理机制自身的完整性。
- 如果栈中所有的SEH都失败了,且用户曾经使用过SetUnHandleExceptionFilter()函数设定进程异常处理,则这个异常处理将会被调用。
- 如果用户自定义的异常处理失败,或者是用户没有设定异常处理函数,那么系统默认的异常处理函数UNHandleExceptionFilter()将被调用。这个函数会根据注册表中的信息决定是默默的关闭程序还是弹出错误的对话框。
网友评论