c# - 优雅地处理损坏的状态异常

Question

与此问题相关，我想强制 CLR 让我的 .NET 4.5.2 应用程序捕获损坏状态异常，其唯一目的是记录它们然后终止应用程序。如果我catch (Exception ex)在应用程序周围的几个地方都有这样做的正确方法是什么？

所以，在我指定<legacyCorruptedStateExceptionsPolicy>属性之后，如果我理解正确，所有的catch (Exception ex)处理程序都会像这样捕获异常AccessViolationException并愉快地继续。

是的，我知道这catch (Exception ex)是一个坏主意™，但如果 CLR 至少将正确的堆栈跟踪放入事件日志中，我会非常乐意向客户解释他的服务器应用程序在凌晨 1 点快速失败并离线晚上是个好东西。但不幸的是，CLR 在事件日志中记录了一个不相关的异常，然后关闭了进程，这样我就无法查明实际发生了什么。

问题是，如何在整个过程中实现这一点：

if the exception thrown is a Corrupted State Exception:
    - write the message to the log file
    - end the process 

（更新）

换句话说，这可能适用于简单应用程序中的大多数异常：

[HandleProcessCorruptedStateExceptions] 
[SecurityCritical]
static void Main() // main entry point
{
    try 
    {

    }
    catch (Exception ex)
    {
        // this will catch CSEs
    }
}

但是，它不适用于：

• 未处理的应用程序域异常（即在非前台线程上抛出）
• Windows 服务应用程序（没有实际Main入口点）

所以这似乎<legacyCorruptedStateExceptionsPolicy>是完成这项工作的唯一方法，在这种情况下，我不知道在登录 CSE 后如何失败？

Answer 1

而不是使用<legacyCorruptedStateExceptionsPolicy>它会更好地使用[HandleProcessCorruptedStateExceptions](and [SecurityCritical]) ，如下所述：

https://msdn.microsoft.com/en-us/magazine/dd419661.aspx

之后，您的Main方法应如下所示：

[HandleProcessCorruptedStateExceptions, SecurityCritical]
static void Main(string[] args)
{
    try
    {
        ...
    }
    catch (Exception ex)
    {
        // Log the CSE.
    }
}

但请注意，这不会捕获更严重的异常，例如StackOverflowExceptionand ExecutionEngineException。

finally涉及的块也try不会被执行：

https://csharp.2000things.com/2013/08/30/920-a-finally-block-is-not-executed-when-a-corrupted-state-exception-occurs/

对于其他未处理的 appdomain 异常，您可以使用：

• AppDomain.CurrentDomain.UnhandledException
• Application.Current.DispatcherUnhandledException
• TaskScheduler.UnobservedTaskException

（当特定处理程序适合您的情况时，请搜索详细信息。TaskScheduler.UnobservedTaskException例如有点棘手。）

如果您无权访问该Main方法，您还可以标记您的 AppDomain 异常处理程序以捕获 CSE：

AppDomain.CurrentDomain.UnhandledException += CurrentDomain_UnhandledException;

...

[HandleProcessCorruptedStateExceptions, SecurityCritical]
private static void CurrentDomain_UnhandledException(object sender, UnhandledExceptionEventArgs e)
{
    // AccessViolationExceptions will get caught here but you cannot stop
    // the termination of the process if e.IsTerminating is true.
}

最后一道防线可能是这样的非托管 UnhandledExceptionFilter：

[DllImport("kernel32"), SuppressUnmanagedCodeSecurity]
private static extern int SetUnhandledExceptionFilter(Callback cb);
// This has to be an own non generic delegate because generic delegates cannot be marshalled to unmanaged code.
private delegate uint Callback(IntPtr ptrToExceptionInfo);

然后在您的流程开始的某个地方：

SetUnhandledExceptionFilter(ptrToExceptionInfo =>
{
    var errorCode = "0x" + Marshal.GetExceptionCode().ToString("x2");
    ...
    return 1;
});

您可以在此处找到有关可能的返回码的更多信息：

https://msdn.microsoft.com/en-us/library/ms680634(VS.85).aspx

的一个“特点”UnhandledExceptionFilter是，如果附加了调试器，则不会调用它。（至少在我拥有 WPF 应用程序的情况下没有。）所以请注意这一点。

如果您从上面设置了所有适当的 ExceptionHandler，您应该记录所有可以记录的异常。对于更严重的异常（如StackOverflowExceptionand ExecutionEngineException），您必须找到另一种方法，因为在它们发生后整个过程无法使用。一种可能的方法可能是另一个监视主进程并记录任何致命错误的进程。

附加提示：

• 在中，AppDomain.CurrentDomain.UnhandledException您可以安全地e.ExceptionObject转换为Exception而不必担心 - 至少如果您没有任何抛出其他对象的 IL 代码Exception：为什么 UnhandledExceptionEventArgs.ExceptionObject 是对象而不是异常？
• 如果你想抑制 Windows 错误报告对话框，你可以看看这里：如何在程序崩溃时终止程序？（这应该只是通过单元测试而不是永远卡住）
• 如果您有一个具有多个调度程序的 WPF 应用程序，您也可以将 aDispatcher.UnhandledException用于其他调度程序。

Answer 2

感谢@haindl 指出您还可以使用[HandleProcessCorruptedStateExceptions]¹属性装饰处理程序方法，因此我制作了一个小测试应用程序，以确认事情是否真的按预期工作。

¹ 注意：大多数答案都表明我还应该包含该[SecurityCritical]属性，尽管在下面的测试中省略它并没有改变行为（[HandleProcessCorruptedStateExceptions]单独似乎工作得很好）。但是，我将在下面保留这两个属性，因为我假设所有这些人都知道他们在说什么。这是“从 StackOverflow 复制”模式的一个学校示例。

显然，这个想法是从 中删除设置<legacyCorruptedStateExceptionsPolicy>，app.config即只允许我们最外层（入门级）处理程序捕获异常，记录它，然后失败。添加设置将允许您的应用程序继续，如果您在某个内部处理程序中捕获异常，这不是您想要的：这个想法只是获取准确的异常信息，然后悲惨地死去。

我使用以下方法抛出异常：

static void DoSomeAccessViolation()
{
    // if you have any questions about why this throws,
    // the answer is "42", of course

    var ptr = new IntPtr(42);
    Marshal.StructureToPtr(42, ptr, true);
}

1. 捕获异常Main：

[SecurityCritical]
[HandleProcessCorruptedStateExceptions]
static void Main(string[] args)
{
    try
    {
        DoSomeAccessViolation();
    }
    catch (Exception ex)
    {
        // this will catch all CSEs in the main thread
        Log(ex);
    }
}

2. 捕获所有异常，包括后台线程/任务：

// no need to add attributes here
static void Main(string[] args)
{
    AppDomain.CurrentDomain.UnhandledException += UnhandledException;

    // throw on a background thread
    var t = new Task(DoSomeAccessViolation);
    t.Start();
    t.Wait();
}

// but it's important that this method is marked
[SecurityCritical]
[HandleProcessCorruptedStateExceptions]
private static void UnhandledException(object sender, UnhandledExceptionEventArgs e)
{
    // this will catch all unhandled exceptions, including CSEs
    Log(e.ExceptionObject as Exception);
}

我建议只使用后一种方法，并[HandleProcessCorruptedStateExceptions]从所有其他地方删除，以确保异常不会在错误的地方被捕获。即，如果您在try/catch某处有一个块并且AccessViolationException抛出了一个块，那么您希望 CLR在结束应用程序之前跳过该catch块并传播到该块。UnhandledException

Answer 3

派对结束了吗？没那么快

微软： “使用应用程序域来隔离可能导致进程中断的任务。”

下面的程序将保护您的主应用程序/线程免受不可恢复的故障，而不会出现与使用HandleProcessCorruptedStateExceptions和<legacyCorruptedStateExceptionsPolicy>

public class BoundaryLessExecHelper : MarshalByRefObject
{
    public void DoSomething(MethodParams parms, Action action)
    {
        if (action != null)
            action();
        parms.BeenThere = true; // example of return value
    }
}

public struct MethodParams
{
    public bool BeenThere { get; set; }
}

class Program
{
    static void InvokeCse()
    {
        IntPtr ptr = new IntPtr(123);
        System.Runtime.InteropServices.Marshal.StructureToPtr(123, ptr, true);
    }
    // This is a plain code that will prove that CSE is thrown and not handled
    // this method is not a solution. Solution is below 
    private static void ExecInThisDomain()
    {
        try
        {
            var o = new BoundaryLessExecHelper();
            var p = new MethodParams() { BeenThere = false };
            Console.WriteLine("Before call");

            o.DoSomething(p, CausesAccessViolation);
            Console.WriteLine("After call. param been there? : " + p.BeenThere.ToString()); //never stops here
        }
        catch (Exception exc)
        {
            Console.WriteLine($"CSE: {exc.ToString()}");
        }
        Console.ReadLine();
    }

    // This is a solution for CSE not to break your app. 
    private static void ExecInAnotherDomain()
    {
        AppDomain dom = null;

        try
        {
            dom = AppDomain.CreateDomain("newDomain");
            var p = new MethodParams() { BeenThere = false };
            var o = (BoundaryLessExecHelper)dom.CreateInstanceAndUnwrap(typeof(BoundaryLessExecHelper).Assembly.FullName, typeof(BoundaryLessExecHelper).FullName);         
            Console.WriteLine("Before call");

            o.DoSomething(p, CausesAccessViolation);
            Console.WriteLine("After call. param been there? : " + p.BeenThere.ToString()); // never gets to here
        }
        catch (Exception exc)
        {
            Console.WriteLine($"CSE: {exc.ToString()}");
        }
        finally
        {
            AppDomain.Unload(dom);
        }

        Console.ReadLine();
    }


    static void Main(string[] args)
    {
        ExecInAnotherDomain(); // this will not break app
        ExecInThisDomain();  // this will
    }
}