关于UnhandledExceptionFilter的第2次调用。
Windows内核调试
关于UnhandledExceptionFilter的第2次调用。
wrong
2011-02-01, 14:06 下午
软件调试的12章节分析了UnhandledExceptionFilter,在一个windows平台上的C/C++程序中,主线程的SEH框架会有2层,最外层是BaseProcessStart,里面是mainCRTStartup,这意味着当有异常发生时,UnhandledExceptionFilter会被调用2次。为什么错误对话框只会显示一次?
另外,仔细看了看Windows 2000下的伪码实现(P319),发现_BaseAlreadyHadHardError在启用了JIT之后会被设置为TRUE,同时返回EXCEPTION_CONTINUE_SEARCH, 这样最外层的UnhandledExceptionFilter会被调用,代码中可以看出,BaseAlreadyHadHardError为TRUE的情况下,第2次调用的UnhandledExceptionFilter会调用TerminateProcess。但事实却并不是这样,有谁知道答案嘛?
Re: 关于UnhandledExceptionFilter的第2次调用。
wrong
2011-02-01, 14:20 下午
第2个关于JIT的问题应该是这样,在第一次的UEF调用中,
如果启用了JIT,则由于NtDebugActiveProcess函数的作用,当前的进程已经成为了一个被调试的进程,所以第2次的UEF调用中检测到当前进程是一个被调试的进程,直接返回了EXCEPTION_CONTINUE_SEARCH,这样也导致了第2轮的异常分发,调试器会首先收到这一异常。
如果没打开JIT,为什么错误对话框只显示一次呢?目前从代码中还看不出处理的逻辑。
Re: 关于UnhandledExceptionFilter的第2次调用。
wrong
2011-02-01, 14:59 下午
再看了看书,总算有点明白了。UEF中会检测是否显示GPF,如果不显示,则UEF返回EXCEPTION_EXECUTE_HANDLER,通常也就是终止进程。
UEF接下来会显示Error Box,要么用户选择关闭进程,也还是如上面一样,UEF返回EXCEPTION_EXECUTE_HANDLER,终止进程,要么用户就启用了JIT,UEF返回EXCEPTION_CONTINUE_SEARCH,这样才会有调用外层UEF的机会。
Re: 关于UnhandledExceptionFilter的第2次调用。
格蠹老雷
2011-02-04, 20:00 下午
赫赫,自问自答,理解的很对