安装了Visual C++，单击“取消”按钮就能够调试该应用程序。进入调试环境后，选择”view”菜单――”debug windows”――”registers”，可打开寄存器窗口。如果你对汇编一窍不通，建议先去找本汇编的书看看。在寄存器窗口里会看到EAX、EBS和EIP等寄存器的内容。EIP当然是最重要的了。EIP的内容就是程序下一步所要执行指令的地址。我们注意到ESP寄存器的值未被破坏，而且似乎离我们的buff变量不远。下一步我们需要找出ESP的值是从如何处理得到的。

现在开始会复杂些了（而这就是乐趣的源泉！：））。 在main函数的最后一行代码处设置断点，因为我们只关心这里所发生的事情。现在启动调试器，并让程序无故障运行到该断点。然后切换到反汇编窗口（按Alt+8，或单击”View”――”debug windows”――”disassembly”）。另外还要打开内存窗口和寄存器窗口。

0040155B 5F pop edi
0040155C 5E pop esi
0040155D 5B pop ebx
0040155E 83 C4 50 add esp,50h
00401561 3B EC cmp ebp,esp
00401563 E8 7E 00 00 00 call _chkesp (004015e6)
00401568 8B E5 mov esp,ebp
0040156A 5D pop ebp
0040156B C3 ret

以上这些东西是什么？汇编代码。如果你对汇编一点都不懂，我在这里做一些简单的说明。第一行是”pop edi”。指令pop用于将仅次于堆栈顶端的数据移到其后的指定寄存器中。需要注意的是ESP寄存器。ESP是32位堆栈指针。一个pop指令移动堆栈顶端的一个数据单元，在这里是DWORD（双字，4字节），到指定寄存器中，并将堆栈指针加4（因为共移动了4字节）。在执行下一步前，让我们看一下ESP寄存器。在内存窗口中输入ESP，就能得到ESP当前指向的地址和内容。看一下ESP指向的内存地址中4个字节的内容和EDI寄存器的内容。现在单步执行”pop.edi”，我们能够看到EDI寄存器中填入了ESP所指向的内存地址的数值，同时ESP的数值也增加了4。后面的两条指令是一样的，只不过寄存器不同罢了。单步执行它们。跟着的三行指令对本文没什么意义，所以在这里不作解释。单步执行到指令”mov esp, ebp”，该指令会将EBP的值赋给ESP寄存器。然后是指令”pop ebp”，这条指令很重要。先让我们在内存窗口输入ESP，可以看到该内存地址有一串”0x61”（'a'的16进制值）。因此0x61616161将被弹出到EBP寄存器中。单步执行该指令可以检验我说的没错吧？；）好了，虽然我说的没错，但好象我们还没能得到什么有用的东西？现在到了最后一条指令”ret”。指令”ret”在汇编中是返回指令。它是如何知道应该返回到哪里的呢？由当前位于堆栈顶端的数值决定。这条指令如果用pop指令表示的话可以表示为”pop eip”（虽然实际上你无法执行这条pop指令；））。它从ESP所指向内存地址处弹出4字节内容，并赋给EIP寄存器（EIP寄存器是32位指令指针）。这就意味着，不管EIP指向哪个内存地址，该地址处的指令将总会成为下一条指令。我们再次在内存窗口中输入ESP，看一下将要赋给EIP寄存器的地址的指令是什么。其实我想此时大家都应该知道是4个字节长的0x61串。现在让我们单步执行该指令，看到EIP的值为0x61616161，也就是说下一指令地址为0x61616161，但指令却显示为???（意为无效指令）。因此再单步执行指令将导致“访问非法”错误。现在再看看ESP寄存器。它正确地指向了堆栈中的下一个数值。也就是说，下一步工作是确定在使缓冲区成功溢出（EIP＝0x61616161）时，ESP所指向的地址是否能够存放我们的溢出代码！我们在overflow.txt文件中再次增加4个'a'（共28个'a'），并再次调试程序，在执行到”ret”指令时观察内存窗口和寄存器窗口，会发现执行”ret”指令后ESP所指向内存地址的内容为4字节长的0x61串。Great！这意味着什么？！这个让大家自己想去吧。；）））

现在我再回过头来分析一下。我们刚才使用字符'a'（0x61）作为文本文件的填充内容，以确定存在缓冲区溢出。由于EIP＝0x61616161，当我们的程序访问试图访问该地址处的指令时，会因为是无效指令而导致系统出错。但如果所指向的地址存在可执行代码时又如何呢？例如装入内存的DLL代码等。哈哈，这样的话就会执行这些指令，从而可能做一些别人想像不到的事！；）

好了，到目前为止，我们已经能控制EIP的数值，也知道ESP指向的堆栈位置，和能够向堆栈写入任意数据。那么下一步做什么呢？当然是找到使系统执行我们的溢出代码的方法了。如果你看过ipxodi所著的文章《Windows系统下的堆栈溢出》，就会知道采用跳转指令（jmp esp）是最好不过的了。原因在这里就不再多讲，请大家仔细阅读《Windows系统下的堆栈溢出》就清楚了。正如前面分析过的，这是因为执行完ret指令后ESP正好能够指向我们的溢出代码！（……哦，找不到，我没分析过？在本文中查找单词”Great”吧，呵呵。）现在我们就要在应用程序的内存空间中找到含有”jmp esp”指令的地址。首先当然是确定这条指令的机器码了。怎么确定？这也要教？好吧，教就教吧。仅此一次，下不违例。；）其实方法很简单，按以下步骤就可以了。先在Visual C++中创建新的应用程序。（当然还是控制台程序，还是支持MFC，这是我的习惯。呵呵。）输入以下代码：

CWinApp theApp;

using namespace std;

int _tmain(int argc, TCHAR* argv[], TCHAR* envp[])
{
int nRetCode = 0;

// initialize MFC and print and error on failure
if (!AfxWinInit(::GetModuleHandle(NULL), NULL, ::GetCommandLine(), 0))
{
// TODO: change error code to suit your needs
cerr << _T("Fatal Error: MFC initialization failed") << endl;
nRetCode = 1;
}
else
{
return 0;
__asm jmp esp
}
return nRetCode;
}

下一步是如何在我们的进程空间里找到这串机器码。也是非常简单的，只要修改一下代码即可：

CWinApp theApp;

using namespace std;

int _tmain(int argc, TCHAR* argv[],