如果你希望在软件调试上有所突破，或者想了解如何通过异常进行反调试，或者想自己写一个调试器，那么就必须要深入了解异常，异常与调试是紧密相连的，异常是调试的基础。

异常产生后，首先是要记录异常信息（异常的类型、异常发生的位置等），然后要寻找异常的处理函数，我们称为异常的分发，最后找到异常处理函数并调用，我们称为异常处理。我们后续的学习，也是围绕异常的、分发、处理。

异常记录

异常可以简单分为2类，即CPU产生的异常和软件模拟产生的异常，如下两张图所示，我们可以看见第一张图中进行了除法运算，CPU检测到除数为0，就产生了异常；第二张图中使用了throw关键词，通过软件模拟主动产生了异常。

CPU的异常记录

我们先了解一个结构体_EXCEPTION_RECORD，它的格式及每个成员的意义如下：

typedef struct _EXCEPTION_RECORD 
{
	DWORD ExceptionCode; // 异常状态码，在Windows中每一种状态（包括异常）都有一个状态码
	DWORD ExceptionFlags; // 异常状态，0表示CPU异常，1表示软件模拟异常，8表示堆栈异常
	struct _EXCEPTION_RECORD *ExceptionRecord; // 通常情况下该值为空，如果发生嵌套异常（即处理异常时又出现了异常）则指向下一个异常
	PVOID ExceptionAddress; // 异常发生地址，表示异常发生时的位置
	DWORD NumberParameters; // 附加参数个数
	ULONG_PTR ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS]; // 附加参数指针
} EXCEPTION_RECORD, *PEXCEPTION_RECORD;

Windows状态码及其对应含义，我们可以在在线文档中获取：[MS-ERREF]: NTSTATUS Values | Microsoft Learn，如下图所示我们可以看见，整数除0时的异常状态码为0xC0000094。

接着我们可以通过除0的例子来看一下CPU的异常记录过程，它的大致过程就是：CPU指令检测到异常→查IDT表执行中断处理函数→执行CommonDispatchException→执行KiDispatchException。我们可以通过IDA打开Ntoskrnl.exe先找到IDT表，通过ALT+T快捷键全局搜索_IDT，找到IDT表。

根据下图所示的中断描述符表我们可以知道除0异常对应的0号中断处理函数，因此我们就可以在IDA中进入对应的处理函数：

该函数的前面一部分代码和KiSystemService函数（系统调用API进0环）的代码一样，都是用来保存现场的：

接着向下可以看到，该中断处理函数直至执行结束都没有对异常进行处理（微软在设计时，希望程序员自己能够对异常进行处理，因此在中断处理函数中并没有对异常进行处理），反而是有多处的跳转，调用了另一个函数CommonDispatchException。

跟进CommonDispatchException函数，我们可以看见它开辟了一块大小为0x50的空间，用于存放_EXCEPTION_RECORD结构体，并且给结构体的每个成员赋值，最终执行KiDispatchException函数，该函数通常用来分发异常，目的是找到异常的处理函数。

其中异常状态码是来自上层的EAX，这点我们通过之前的流程就可以知道，接着我们来看异常发生地址（即ExceptionAddress）是来自上层的EBX，而EBX又来自[EBP+0x68]，这里实际上指的是Trap_Frame结构体0x68偏移位Eip成员，它是用来记录中断发生地址的，这是因为在保存现场结束之后，ESP指向Trap_Frame的顶部，而EBP也与ESP一样。

软件模拟的异常记录

我们接着来看一下throw关键词触发的软件模拟异常记录过程，在关键词处下断点，然后运行通过反汇编代码我们可以知道它调用的就是CxxThrowException函数：

跟进该函数，会发现它也是调用了另外一个函数RaiseException，并通过栈的方式压入了几个传参：

接着我们跟进RaiseException函数发现，正是这几个传参填充了_EXCEPTION_RECORD结构体，在这里我们会发现两个比较关键成员的值都与CPU异常记录时的赋值内容不一致，首先是ExceptionCode，它的值很明显是一个Windows异常状态码中没有的（即0xE06D7363），这是因为在软件模拟产生的异常场景下，ExceptionCode的值是根据不同的编译环境而生成的；其次是ExceptionAddress，如下图中我们可以看见，它的值是RasieException函数的首地址，而并不是真正产生异常的那段地址。

RaiseException函数之后的流程是这样的：RtlRaiseException→NtRaiseException→KiRaiseException，在最后执行到KiRaiseException函数时，会将ExceptionCode的最高位清0，便于区分CPU/软件模拟异常：

虽然模拟异常与CPU异常有一定的差异，但是在最后，两者都会去调用KiDispatchException函数，用于异常分发。

异常分发与处理

异常可以发生在用户空间，也可以发生在内核空间。无论是CPU异常还是模拟异常，无论是用户空间异常还是内核空间异常，最终都要通过KiDispatchException函数进行分发，理解这个函数是学好异常的关键，这个函数比较复杂，我们以内核、用户两个角度来分析学习。

内核异常

本章我们主要分析内核异常是如何分发，如何处理的。首先我们需要来了解一下KiDispatchException函数的格式，及每个参数的作用：

VOID KiDispatchException (
	PEXCEPTION_RECORD ExceptionRecord, // 异常记录结构体
	PKEXCEPTION_FRAME ExceptionFrame, // X86系统下，该值为NULL
	PKTRAP_FRAME TrapFrame, // 3环进0环保存现场所用的结构体
	KPROCESSOR_MODE PreviousMode, // 先前模式，表示调用来自什么模式，0表示内核模式，1表示用户模式
	BOOLEAN FirstChance // 判断是否是第一次分发这个异常，对于同一个异常，Windows最多分发两次
	// 该值为1表示第一次分发，为0表示第二次分发
)

通过IDA直接打开Ntoskrnl.exe模块，找