现有的一些分析
http://bbs.pediy.com/showthread.php?t=147949&highlight=ms12+020
http://bbs.pediy.com/showthread.php?t=148567&highlight=ms12+020

通过excel补丁对比，我发现另外一个查出来的符号是RDPWD!ShareClass::DCS_SendErrorInfo
跟文章里面不一样???
见：
补丁对比直接用EXCEL宏比用图形化来的简单！
查了一下rdpwd的两处相关符号

kd> lm m rdpwd*
start    end        module name
f4a5b000 f4a7d100   RDPWD      (pdb symbols)          c:\mysymbols\RDPWD.pdb\19F9DADE1E5E42CD8A2AA9DB4F26060B1\RDPWD.pdb

kd> u f4a5b000+f41e
RDPWD!ShareClass::DCS_SendErrorInfo+0x48:
f4a6a41e c6400b01        mov     byte ptr [eax+0Bh],1
f4a6a422 6689480c        mov     word ptr [eax+0Ch],cx
f4a6a426 88580f          mov     byte ptr [eax+0Fh],bl
f4a6a429 66895810        mov     word ptr [eax+10h],bx
f4a6a42d 8b06            mov     eax,dword ptr [esi]
f4a6a42f 8b4024          mov     eax,dword ptr [eax+24h]
f4a6a432 014814          add     dword ptr [eax+14h],ecx
f4a6a435 8b45fc          mov     eax,dword ptr [ebp-4]

kd> u f4a5b000+2cb82-10000
RDPWD!HandleAttachUserReq+0x9a:
f4a77b82 ff75f8          push    dword ptr [ebp-8]
f4a77b85 83c670          add     esi,70h
f4a77b88 56              push    esi
f4a77b89 e81cf5ffff      call    RDPWD!SListRemove (f4a770aa)
f4a77b8e b001            mov     al,1
f4a77b90 5e              pop     esi
f4a77b91 c9              leave
f4a77b92 c20800          ret     8

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)