!exchain

这个!exchain扩展命令显示当前异常处理程序链。

!exchain [Options]

STATUS_STACK_BUFFER_OVERRUN异常一般是指栈缓冲区溢出的溢出，代码为0xC0000409,消息提示一般为“Security check failure or stack buffer overrun”。微软给出的解释如下：系统在应用程序中检测到基于堆栈的缓冲区溢出。此溢出可能允许恶意用户获得此应用程序的控制权。/GS编译器开关允许创建堆栈“cookie”值，该值用作检测堆栈缓冲区溢出的金丝雀。如果cookie已损坏，则进程会立即终止自身，状态代码为STATUS_STACK_BUFFER_OVERRUN。

在做如上描述的时后，STATUS_STACK_BUFFER_OVERRUN是一个好名字。但是，随着时间的推移，随着我们遇到和处理问题越来越多，我们会发现其他立即终止进程的原因。其中一些与安全有关其他的没有。比如在遇到更糟糕的情况下希望在进程终止前立即停止，用fail fast这个词是用来形容这种情况的就非常好。甚至还有一个编译器内部函数来终止使用这个特殊状态代码的当前进程。

似乎人们无法就是fail fast还是fast fail达成一致，所以在实践中，你可以看到这两种变化。这意味着现在当你得到一个STATUS_STACK_BUFFER_OVERRUN时，实际上并不意味着存在堆栈缓冲区溢出。这只意味着应用程序决定以极快的速度自行终止。

如果你查看winnt.h文件，您将看到各种快速失败代码的列表。这些代码指示发生了哪种类型的快速故障。

#define FAST_FAIL_LEGACY_GS_VIOLATION         0
#define FAST_FAIL_VTGUARD_CHECK_FAILURE       1
#define FAST_FAIL_STACK_COOKIE_CHECK_FAILURE  2
#define FAST_FAIL_CORRUPT_LIST_ENTRY          3
#define FAST_FAIL_INCORRECT_STACK             4
#define FAST_FAIL_INVALID_ARG                 5
#define FAST_FAIL_GS_COOKIE_INIT              6
#define FAST_FAIL_FATAL_APP_EXIT              7

当在C++语言中引入异常时，引入了相应的throw(…)动态异常说明符，注释了哪些异常可以由函数抛出。比如：

// this function might throw an integer or a pointer to char,
// but nothing else.
void foo() throw(int, char*);

windows系统的快速失败机制---fastfail，是一种用于“快速失败”请求的机制 — 一种潜在破坏进程请求立即终止进程的方法。 无法使用常规异常处理设施处理可能已破坏程序状态和堆栈至无法恢复的的严重故障。 使用 __fastfail 终止进程开销最少。

快速失败请求是独立的请求，通常只需执行两个指令。 一旦执行快速失败请求后，内核就会采取相应的行动。 在用户模式代码中，引发速快速失败事件时，除指令指针本身外不存在任何内存依赖项。 即使存在严重的内存破坏，也可最大限度地提高其可靠性。

用户模式开始失败显示为第二个机会非持续性异常，异常代码为 0xC0000409，至少包含一个异常参数。 第一个异常参数为 code 值。 此异常代码对 Windows 错误报告 (WER) 和调试基础结构指示进程已损坏并且应采取最少的进程内操作以响应故障。 内核模式快速失败请求可以通过使用专用检错代码 KERNEL_SECURITY_CHECK_FAILURE (0x139) 实现。 在这两种情况下，都没有调用异常处理程序，因为程序预期处于损坏状态。 如果存在调试程序，就有机会在终止进程之前检查程序的状态。

Windows 8 开始支持本机快速失败机制。 不支持本机快速失败指令的 Windows 操作系统通常会将快速失败请求视为访问冲突，或视为 UNEXPECTED_KERNEL_MODE_TRAP 错误检查。 在这些情况下，仍然会终止程序，但并不一定会快速终止。

windows提供了一个内部专用API来实现这种机制---__fastfail，

原型如下：

void __fastfail(unsigned int code);