这里由于篇幅关系，只跟踪了两个itrp循环。有兴趣的读者可以自行将其补充完全。

当win32k!itrp_WCVT中断后，可以观察到如下指令及状态：

bf860df68b70fc          mov     esi,dword ptr [eax-4]

下面是常用的函数及其功能列表

调试过程简化：

为简化调试过程，可对原代码进行修改。

在即将使用dexter.tff字体，调用TextOut输出文字时，弹出messagebox。

执行code.exe程序，在弹出提示框之后，

早就听说duqu是第二代的stuxnet，心中就保留了一份好奇。之前对stuxnet的分析不仅可以看到作者在漏洞挖掘上的功力，同时也对作者那些精巧的利用思路由衷敬佩。而且，据说这个内核漏洞是以doc形式来触发的，心中更是想仔细跟一下。搜了一下，找到两篇比较好的文章启明星辰的分析，以及kk牛的《Analysing CVE-2011-3402 Fon

在微软发布的ms11-021中，包含了两个CVE编号-Cve-2011-0104、Cve-2011-0978。网上常见对Cve-2011-0104的分析（http://sebug.net/vuldb/ssv

最近调了instruder发的0day漏洞：http://www.exploit-db.com/exploits/18140/
把调试分析的情况写在这里。

dump文件的分析结果如下:
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx"

FAULTING_IP:
win32k!ReadLayoutFile+88
bf89ed23 0fb75006        movzx   edx,word ptr [eax+6]

TRAP_FRAME:  b28068a0 -- (.trap 0xffffffffb28068a0)
ErrCode = 00000000

在exploit-db上看到一种绕过SafeSeh的方法（http://www.exploit-db.com/exploits/15184/），exp中涉及的文档可以在这里找到
http://packetstormsecurity.org/filedesc/SEH-all-at-once-attack.pdf.html。

在翻了许多资料后才发现，原来riusksk已经点评过了。原作者的意图是同时绕过safeshe和sehop，不过我集中地看了一下对safeshe
的绕过。下面直接引述点评内容：

(1)首先利用_except_handler3（）函数地址覆盖SEH Handle,而next seh则保持原值不变（主要用于绕过sehop），_except_handler3
函数原型如下