DLL注入实现子进程Runtime Error检测
好久之前写的Offline Judge,当时RE评测结果功能的实现使用的是debug api,结果有一个bug,此功能就暂时被删掉了。昨天和学长讨论,说debug api可能会影响运行时间的评测结果,当时我还觉不使用debug api怎么能捕捉到子进程的异常呢。今天突然想到不用debug api的方法:注入dll,挂钩UnhandledExceptionFilter。然而写好之后令我没想到的是,一个7KB的DLL文件注入之后居然多占用了1.5M的内存,这样内存使用的信息也就只能“仅作参考”了。目前我还没有想到解决办法。对于一些对内存使用量不敏感的应用来说,这种方法也可以考虑,当然前提是程序内部没有对异常做出处理。
最开始想到的方法是注入之后调用SetUnhandledExceptionFilter,不过发现居然没用(也许是在我的dll注入进去之后UnhandledExceptionFilter又被改掉了?还是什么?)。然后想到挂钩SetUnhandledExceptionFilter让所有人都靠边站,不过既然这样为何不直接挂钩UnhandledExceptionFilter呢,因为每次异常发生(测试用的是一个人为除零的小程序)都是windows的“xxxx已停止工作……”,这说明最后是UnhandledExceptionFilter得到控制权的(这也是一定的),而且并不是所有未处理异常都会被SetUnhandledExceptionFilter所设置的函数拦截到的。于是,动工。
void HookUnhandledExceptionFilter(){ BYTE fakeEntry[5]; fakeEntry[0] = 0xE9; LPVOID pFunc = (LPVOID)GetProcAddress(GetModuleHandle("kernel32.dll"), "UnhandledExceptionFilter"); *((PDWORD)(&fakeEntry[1])) = (DWORD)NewExceptionFilter - (DWORD)pFunc - 5; DWORD dwProtect, dwWrite; VirtualProtect(pFunc, 5, PAGE_READWRITE, &dwProtect); WriteProcessMemory(GetCurrentProcess(), pFunc, fakeEntry, 5, &dwWrite); VirtualProtect(pFunc, 5, dwProtect, NULL); return 0; } int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved) { switch(reason) { case DLL_PROCESS_ATTACH: HookUnhandledExceptionFilter(); break; } return 1; }
HookUnhandledExceptionFilter函数把原来的UnhandledExceptionFilter函数的前5个字节改成了跳转。其中的NewExceptionFilter是我们新的UnhandledExceptionFilter函数。
NewExceptionFilter的作用就很简单了,得到ExceptionCode,根据异常类型向主程序传递信息。传递信息这里我是直接通过StdErr实现的,主程序通过匿名管道实现StdErr的重定向,只要检测是否有错误输出就可以知道是否有Runtime Error了。如果是其他应用,使用命名管道之类的手段即可。
这是一种不用debug api来获得子进程异常的方法,也算作是一种思路吧。