x32dbg的禁用aslr功能失效了！

bypasshwid · 发表于 2025-3-11 01:38

我用VS编译出来个动态基址的测试程序，在win10上，放入到x32dbg中，加载基址肯定不是00400000，
x32dbg本身有禁用aslr功能的，但是我这里测试一直失败。
如下图，先勾选“禁用aslr”选项

之后肯定是要重载程序了吧，结果出现如下错误，

无法加载程序了，到底是怎么回事？需要设置哪里？

测试程序：
https://www.123912.com/s/YL29-WQ3Rh

linuxabc · 发表于 2025-3-11 09:11

我这可以正常打开，没有问题

你好，再见 · 发表于 2025-3-11 09:13

我翻了它禁用aslr功能的代码实现155行：https://github.com/x64dbg/TitanEngine/blob/49f59781da9ef9ed8b14963a0ecf499695971b5f/TitanEngine/TitanEngine.Debugger.cpp

安全软件关一下看看呢，玄学问题

BeneficialWeb · 发表于 2025-3-11 10:49

本帖最后由 BeneficialWeb 于 2025-3-11 10:51 编辑

这边设置完禁用ASLR，重启调试器后。多次测试没有问题。在内存布局中可以看到基址是0x400000

注：测试时我的x32dbg 版本是Mar 3 2025.

MJ_B · 发表于 2025-3-11 12:47

本帖最后由 MJ_B 于 2025-3-11 18:11 编辑

这个功能，不是100%成功的。3楼给的代码里面写了，如果程序的地址0x400000被其他dll(或者是peb或者其他什么信息)先行占用了，还是会随机的。
{
// Remap in a random location (otherwise the process will crash)
imageBase = 0;
status = NtMapViewOfSection(hMapping, pi.hProcess, &imageBase, 0, 0, nullptr, &viewSize, ViewUnmap, 0, PAGE_READONLY);
}
这里就是随机开始的，在199行。
后面还重定位了(auto relocatedOk = RelocateImage(pi.hProcess, imageBase, viewSize);)。

苏紫方璇 · 发表于 2025-3-11 15:46

楼上说的对，这个功能我抄过，好像记得源码也是重复加载n次，赌出来一次正确的加载基址，是有失败的概率的

帐号		自动登录	找回密码
密码			注册[Register]

[求助] x32dbg的禁用aslr功能失效了！

免费评分