关闭Windows10的ASLR

zyjsuper

关闭win10的ASLR如图所示：依次点击“开始”——>“设置”——>“更新与安全”——>“windows安全中心”——>“打开windows安全中心”——>“应用与浏览器控制”——>“Exploit Protection设置”
将图中所示的三项设置为关闭，先关闭高熵[shāng]ASLR，然后再关闭其他两项。
ASLR保护是避免系统遭受到恶意软件的溢出攻击等，所以针对系统的安全加固配置就是将这三个项目都设置为打开，DEP是默认打开的。
只是为了方便调试程序才将这些参数设置为关闭，否则不建议关闭。

仔细验证后发现，win10中影响调试的关键配置是强制性ASLR(默认关闭)，如果打开这一项后，我们调试软件时，发现入口地址是随机的，其他两项并不影响入口地址。
另外影响入口地址的是软件本身的ASLR保护，去掉该保护的方法有很多种，可以参照我之前发的一篇帖子：https://www.52pojie.cn/thread-1003079-1-1.html
关闭掉软件的ASLR保护后，无论在win7还是win10上调试(x64dbg)，其入口地址一致。

大家还有其他什么发现，欢迎下方评论，感谢大家的热心评论。


另附：CFF explorer(下载地址：https://down.52pojie.cn/Tools/PEtools/CFF_Explorer.zip)去掉ASLR保护的方法，如图中，不勾选"DLL can move"的复选框。


关于ASLR的文章推荐两篇，便于大家理解
https://www.jianshu.com/p/91b2b6665e64
https://www.freebuf.com/articles/system/22533.html

冥界3大法王

在计算机科学中，地址空间配置随机加载（英语：Address space layout randomization，缩写ASLR，又称地址空间配置随机化、地址空间布局随机化）
是一种防范内存损坏漏洞被利用的计算机安全技术

221234

我是直接注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel]
"MitigationOptions"=hex:22,22,22,00,00,02,00,00,00,02,00,00,00,00,00,00
这样顺便解决了乱序内存

xuw

ASLR是干什么用的  不知道的有没有？

一日到黑都沟女

DEP是毒瘤啊，这个也必须关闭。

netspirit

win10可以用吗。。。。。。

wjqok

WIN7需要处理吗？

zyjsuper

wjqok 发表于 2020-2-7 00:59
WIN7需要处理吗？

关闭了软件的ASLR保护后，我对比了win7和win10的调试入口地址都一样。个人觉得不需要处理。
还需要再仔细进一步验证下。

chenjingyes

不错  之前就是用这个来关aslr的

Ars

感谢楼主分享，支持一下！