CVE 2010-3333漏洞利用样本分析

CVE 2010-3333漏洞利用样本分析
MD5:0da3d804c3a427eb4a3b28eea52ca33d
样本经过混淆，

Paste_Image.png

发生溢出的位置

Paste_Image.png Paste_Image.png

此时的拷贝的地址内容为：

Paste_Image.png

溢出成功后，会覆盖上级函数的返回地址，如下图，返回地址被覆盖为7893d47b

Paste_Image.png Paste_Image.png

于是，通过jmp esp 来到自己写的shellcode处。
Shellcode 会http://superhorsepro.com/image/revised.exe下载执行

Revised.exe
Md5:7285a72d5ef3fe828960fe011258d8a0
文件看起来是个exe,实际上是sfx打包的文件，可用7-zip打开，可以看到里面有三个文件

Paste_Image.png

其中evmtcnc.exe为autoit.exe,程序在运行时会调用evmtcnc.exe rdmhclg.tvv，rdmhclg.tvv作为autoit的参数，rdmhclg.tvv为文本格式的文件，为unicode编码。
rdmhclg.tvv经过混淆，里面加入了大量的空格等混淆字符。
怎么解密，不知道

md5:6503fd4ec1cca681b872662fedb1c6cc
经过混淆的au3脚本文件。