.text:3298605B call dword ptr [edx+14h] ; 定位文件当前读取的位置
.text:3298609E call dword ptr [eax+0Ch] ; 读取接下来的8个字节
.text:32986112 mov eax, [eax+18h] ; 8 bytes中,后一个dword为循环次数
.text:32986115 mov ecx, eax
.text:32986117 dec eax
.text:32986118 test ecx, ecx
.text:3298611A mov [ebp+pInterface], eax
.text:3298611D jz loc_3298624F
; 下面读取的8个bytes,后一个dword为下一次文件操作的偏移,前一个dword含义未知,看下面红色文字说明
.text:32986133 call dword ptr [ecx+0Ch] ; 读取接下来的8个字节
.text:32986178 lea ebx, [eax+ecx] ; 计算下一个操作的位置
.text:329861BC call dword ptr [ecx+14h] ; 把文件指针移到下一个操作的位置
; 该函数判断该读取8个bytes中前一个dword是否空,如果为空的话,就调用漏洞函数进行下一步解析,否则的话就调用sub_32985476进行下一步解析,要触发漏洞,该值一定要为空
.text:329861EE cmp [ebp+var_38], ebx ;
.text:329861F1 jz loc_329862B8
.。。。。。。。。。。。。
.text:32986215 call sub_32985476 ; 不为空时调用该函数做下一步解析
。。。。。。。。。。。。
.text:329862BC call ProblemFunction ; 为空时调用漏洞函数做下一步解析
.text:32986243 mov eax, [ebp+pInterface] ; 循环次数不为0则重复8 bytes的操作
.text:32986246 dec [ebp+pInterface]
.text:32986249 test eax, eax
.text:3298624B jnz short loc_32986295
不客气,拿走
