__try,__except在HIPS驱动中的实现。
一般出现异常,流程到__except中,会直接放行。
wooyun上有一个漏洞跟这个有关:
http://www.wooyun.org/bugs/wooyun-2012-013160
用PAGE_GUARD,造成第一次访问参数会出异常
mj0011,也有一个类似的ProbeBypass
http://hi.baidu.com/mj0011/item/e57573340dc583302e0f81f0
ProbeForRead的第三个参数Alignment,如果为2。只要传入不以2对齐的内存,就会引发异常。
同时,关于Probe和__try的漏洞MJ还有一个
http://hi.baidu.com/mj0011/item/ce6187d84fe3d0ffcb0c39f7
这个比较2,ProbeForRead后,就直接不管了。以前看过这个驱动,没找出来。