有什么工具能查出来EXE是固定基址还是随机基址吗？

朱朱你堕落了 · 发表于 2023-8-28 12:55

这么说吧，VC编译的EXE，在XP上运行，无论这个EXE编译时设置的随机基址，还是固定基址，到XP上都是004000000，
OD载入基址看不出来的是随机的还是固定的，有没有什么PE工具能查看这个EXE，它本身是固定基址还是随机基址的。

编译了两个程序，一个是固定的，一个是随机的
https://cowtransfer.com/s/78a48f529b9c42

无闻无问 · 发表于 2023-8-28 12:55

https://blog.csdn.net/ArthurHai521/article/details/111823162

参考一下这个，我了解的大概就这样

无闻无问 · 发表于 2023-8-28 13:05

应该pe工具就行

SN1t2lO · 发表于 2023-8-28 13:28

https://www.jianshu.com/p/91b2b6665e64
是不是这个？

hipojie · 发表于 2023-8-28 13:43

本帖最后由 hipojie 于 2023-8-28 13:46 编辑

你说的0x004000000是PE中的ImageBase，0x004000000这个东西不是固定不变的，显示0x004000000是因为ImageBase的值为0x004000000，还有一个东西叫做AdressOfEntryPoint，你把exe程序拖到OD里在程序没有加壳时显示的开始运行地址是ImageBase + AdressOfEntryPoint，能查看ImageBase的工具很多，比如这个 https://down.52pojie.cn/Tools/PEtools/ExeinfoPe.zip ，希望你能采纳答案。

朱朱你堕落了 · 发表于 2023-8-28 14:24

hipojie 发表于 2023-8-28 13:43
[md]你说的0x004000000是PE中的ImageBase，0x004000000这个东西不是固定不变的，显示0x004000000是因为Imag ...

老哥，可能是我表达的不太准确，我知道这是ImageBase，我的意思有没有什么工具能查出来这个软件是固定基址还是随机基址。查看ImageBase是没什么实际意思的，反正运行后还是会变。

朱朱你堕落了 · 发表于 2023-8-28 14:35

SN1t2lO 发表于 2023-8-28 13:28
https://www.jianshu.com/p/91b2b6665e64
是不是这个？

对，是这种，但是我想直观的用工具看出来是否有ASLR，而不是再在PE里找里逐个慢慢的找这个字段，判断存在或不存在动态基址。这太慢了。

朱朱你堕落了 · 发表于 2023-8-28 14:40

无闻无问发表于 2023-8-28 13:05
应该pe工具就行

哪个PE工具能直观看出来？

无闻无问 · 发表于 2023-8-28 16:45

基本上pe都行，好像就是检查pe结构的值，Optional Header头下DllCharacteristics……

无闻无问 · 发表于 2023-8-28 16:55

xp没有基址随机化，即ASLR……

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 有什么工具能查出来EXE是固定基址还是随机基址吗？

最佳答案

点评

点评

点评

个人中心