全球作弊论坛  
  
查看: 203|回复: 0

ASLR保护机制绕过

[复制链接]

10

主题

1

回帖

50

积分

鬼仙

Rank: 2

积分
50
发表于 2024-9-21 14:08:14 | 显示全部楼层 |阅读模式
本帖最后由 天神 于 2024-9-21 14:28 编辑

1.ASLR技术
ASLR,全称为 Address Space Layout Randomization,地址空间布局随机化。它将进程的某些内存空间地址(如:起始地址)进行随机化来增大入侵者预测目的地址的难度,从而降低进程被成功入侵的风险。当前 Linux、Windows 等主流操作系统都已经采用该项技术。Linux 从kernel 2.6.12 开始引入该技术,Windows 从 Windows Vista/Windows Server 2008(kernel version 6.0)开始引入该技术。ASLR技术需要操作系统和编译工具的双重支持 (主要是操作系统的支持,编译工具的作用是生成支持 ASLR 的文件格式)。
2.影响
启用 ASLR,在每次程序运行时的时候,装载的可执行文件和共享库都会被映射到虚拟地址空间的不同地址处。
禁用 ASLR,可以保证在可执行程序和共享库不发生变更的情况下,每次执行时的进程地址空间映射表的一致。
3.禁用ASLR
3.1修改注册表
修改注册表,win+r,输入regedit即可打开注册表,新建注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management] “MoveImages”=dword:00000000
开启方法则删除对应的注册表项即可。
3.2修改文件
将IMAGE_OPTIONAL_HEADER\DllCharacteristic中的IMAGE_DLLCHARACTERISTICS_DYNAMIC字段值去掉即可:将PE中8140数据改为8100


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表