BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...)
{
 char *vl;
 BOOLEAN retval = FALSE;
 ULONG FunctionIndex;
 ULONG CallRet;
 ULONG Argv[20],temp;
 LONG i;
 ULONG FunctionAddr;
 BYTE Sign[]="\xb8\x44\x00\x00\x00";
 BYTE *p;

......

IHTMLWindow2 *pWindow;
HRESULT hr=pDoc2->get_parentWindow(&pWindow);
VARIANT ret;
ret.vt=VT_EMPTY;
CComBSTR func="alert(document.cookie)";
CComBSTR lang="JAVAScript";
hr=pWindow->execScript(func,lang,&ret);

XP sp3下:

1.NtCreateProcessEx

2.NtCreateThread

3.CreateProcessNotify，调用创建进程回调函数，在PspCreateThread中调用

4.CreateThreadNotify，调用创建线程回调函数，在PspCreateThread中调用

Vista、Win7下:

1.NtCreateUserProcess->PspInsertThread

利用成功后可看到Services.exe以system权限运行了C:\Users\test\Desktop\1.exe。

一开始，像大多数其它溢出那样，执行完shellcode后就sleep等死，可是这里不行，在进入有漏洞的函数前，系统占了一个锁，如果等死了，整个系统也立马卡死。函数调用是像下面这样的：

call func2()
{
    getlocker();
    bugfunc();//存在溢出的函数
...

下面是我在xp下逆向分析出的这个链表的结构：

typedef struct _HOTKEY
{
    PVOID Win32Thread;
    ULONG gptiCurrent;
...

1.从这个木马里看到了一条IDA不认识的指令，mov     eax,cr0它对应的机器码是0f20c0；

2.还有指令lock jmp，非常干扰IDA的分析；

3.另外返回使用jmp     dword ptr [esp-4]会对动态调试造成影响

4.驱动文件执行一段加密一段，干扰静态分析。

...

工行用的口令卡，在工行填写对话对方招行账号时，强悍的招商插件弹出一个安全警告，大概意思是提示在招行官方以外的网站输入招行卡号是不安全的，看来工行没有和招行搞好关系。

然后无视这个提示，继续下一步，再下一步，到了显示转帐单要输入口令密码时，工行弹出一个错误“非法字符展现”，然后口令卡坐标位置写了“异常”2字。

回去重新操作了两遍还是不行，退出重新登录也不行，再从Maxthon换到IE7还不行，前前后后登录了不下四次，重输对方帐号、姓名、分行地址不下5次，还是不停的弹那个错误错，当时真是火气都来了。

...