求助关闭win10 ASLR
我想关闭win10 ASLR,这样动态基址的也能固定下来,搜索到了论坛这个贴子:https://www.52pojie.cn/thread-1099755-1-1.html
按贴子内容,已经在安全中心Exploit Protection里三项都设置了关闭,之后重启电脑,用OD载入,发现不起作用。
我系统是win10专业版 22H2 19045.3324
楼下有个大佬回复使用的注册的方法:
我是直接注册表
"MitigationOptions"=hex:22,22,22,00,00,02,00,00,00,02,00,00,00,00,00,00
这样顺便解决了乱序内存
不知道是啥意思,乱序内存是个什么东西?
意思是改注册表也能禁用ASLR?还是啥意思,因为不清楚回复的意思,所以物理机不敢试,我没有安装win10虚拟机,
哪位大佬有WIN10虚拟机,帮忙测试一下注册表,这个方法管用不。
反正就是我要禁用win10 ASLR,因为动态基址的加了强壳,还是动态基址,不会脱强壳。
编译了两个测试程序,请放到OD里测试一下,是否真的能固定下来。
https://cowtransfer.com/s/78a48f529b9c42 分两种情况:
1、exe/dll本身没有aslr,但是在Win10上调试,却是动态地址。按照https://www.52pojie.cn/thread-1099755-1-1.html帖子可以解决;
2、exe/dll本身就有aslr,并且带壳保护。即使按照上面帖子的要求进行Win10设置,在调试这个exe时,也仍然是动态地址。如果非要关闭,就用cff取消dll can move。不过这样会触发壳CRC校验。
其实动态地址没多大关系,一般换用xDbg调试。 就是改注册表 https://learn.microsoft.com/en-us/troubleshoot/windows-client/shell-experience/feature-to-block-untrusted-fonts
通过注册表打开并使用“阻止不受信任的字体”功能要打开、关闭此功能或使用审核模式,请执行以下操作:
打开注册表编辑器 (regedit.exe) 并转到 。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
你觉得对吗?{:301_998:} 不行的,win10禁止不了ASLR, 只能修改exe 为什么不在exe的中改呢?
pe工具,如CFF Explorer
点击Optional Header,找到DllCharacteristics,然后再点击右边的Click here:
把第一个DLL can move取消,然后点击OK,重新保存文件即可去除基址随机化。 无闻无问 发表于 2023-8-29 17:48
为什么不在exe的中改呢?
pe工具,如CFF Explorer
点击Optional Header,找到DllCharacteristics,然后再 ...
加个VMP, 加个TMD,设置加壳时禁止文件修改,老哥,你怎么改?
"MoveImages"=dword:00000000
chatgpt给的 今天又学到了,无意间学到的 你的动态基址地址是什么意思,是不是说每次载入od程序入口都会变化