脱壳基础知识入门和提高-----第二课 SEH技术

结构化异常处理（Structured Exception Handling，SEH）是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制，与特定的程序设计语言无关。
   外壳程序里大量地使用了SEH，如果不了解SEH，将会使你跟踪十分困难。

  SEH in ASM 研究(一)by hume   
  SEH in ASM 研究(二)by hume   
  Structured Exception Handling   
  加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 by ytcswb   

由于 Ollydbg   对SEH处理异常灵活，因此脱壳用Ollydbg会大大提高效率。

附CONTEXT结构环境：

代码:

---

typedef struct _CONTEXT {

 

/*000*/ DWORD       ContextFlags;

 

/*004*/ DWORD       Dr0;

/*008*/ DWORD       Dr1;

/*00C*/ DWORD       Dr2;

/*010*/ DWORD       Dr3;

/*014*/ DWORD       Dr6;

/*018*/ DWORD       Dr7;

 

/*01C*/ FLOATING_SAVE_AREA FloatSave;

 

/*08C*/ DWORD       SegGs;

/*090*/ DWORD       SegFs;

/*094*/ DWORD       SegEs;

/*098*/ DWORD       SegDs;

 

/*09C*/ DWORD       Edi;

/*0A0*/ DWORD       Esi;

/*0A4*/ DWORD       Ebx;

/*0A8*/ DWORD       Edx;

/*0AC*/ DWORD       Ecx;

/*0B0*/ DWORD       Eax;

 

/*0B4*/ DWORD       Ebp;

/*0B8*/ DWORD       Eip;

/*0BC*/ DWORD       SegCs;

/*0C0*/ DWORD       EFlags;

/*0C4*/ DWORD       Esp;

/*0C8*/ DWORD       SegSs;

 

/*0CC*/     BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];

 

/*2CC*/ } CONTEXT;

 

---