求助关闭win10 ASLR

朱朱你堕落了

我想关闭win10 ASLR，这样动态基址的也能固定下来，搜索到了论坛这个贴子：
https://www.52pojie.cn/thread-1099755-1-1.html

按贴子内容，已经在安全中心Exploit Protection里三项都设置了关闭，之后重启电脑，用OD载入，发现不起作用。
我系统是win10专业版 22H2 19045.3324

楼下有个大佬回复使用的注册的方法:
我是直接注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:22,22,22,00,00,02,00,00,00,02,00,00,00,00,00,00
这样顺便解决了乱序内存

不知道是啥意思，乱序内存是个什么东西？

意思是改注册表也能禁用ASLR？还是啥意思，因为不清楚回复的意思，所以物理机不敢试，我没有安装win10虚拟机，
哪位大佬有WIN10虚拟机，帮忙测试一下注册表，这个方法管用不。

反正就是我要禁用win10 ASLR，因为动态基址的加了强壳，还是动态基址，不会脱强壳。

编译了两个测试程序，请放到OD里测试一下，是否真的能固定下来。
https://cowtransfer.com/s/78a48f529b9c42

董督秀

分两种情况：
1、exe/dll本身没有aslr，但是在Win10上调试，却是动态地址。按照https://www.52pojie.cn/thread-1099755-1-1.html帖子可以解决；
2、exe/dll本身就有aslr，并且带壳保护。即使按照上面帖子的要求进行Win10设置，在调试这个exe时，也仍然是动态地址。如果非要关闭，就用cff取消dll can move。不过这样会触发壳CRC校验。
其实动态地址没多大关系，一般换用xDbg调试。

renpeng009

就是改注册表

冥界3大法王

https://learn.microsoft.com/en-u ... ock-untrusted-fonts
通过注册表打开并使用“阻止不受信任的字体”功能要打开、关闭此功能或使用审核模式，请执行以下操作：
打开注册表编辑器 （regedit.exe） 并转到 。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
你觉得对吗？

msn882

不行的，win10禁止不了ASLR， 只能修改exe

无闻无问

为什么不在exe的中改呢?
pe工具，如CFF Explorer
点击Optional Header，找到DllCharacteristics，然后再点击右边的Click here：
把第一个DLL can move取消，然后点击OK，重新保存文件即可去除基址随机化。

朱朱你堕落了

无闻无问 发表于 2023-8-29 17:48
为什么不在exe的中改呢?
pe工具，如CFF Explorer
点击Optional Header，找到DllCharacteristics，然后再 ...

加个VMP, 加个TMD，设置加壳时禁止文件修改，老哥，你怎么改？

s2690170

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"MoveImages"=dword:00000000

chatgpt给的

gangdaomeimei

今天又学到了，无意间学到的

s2690170

你的动态基址地址是什么意思，是不是说每次载入od程序入口都会变化