吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 28335|回复: 37
收起左侧

[PEtools] 【ASLR关闭工具】OD载入每次入口地址都不一样怎么办?就这么办。

  [复制链接]
cmheia 发表于 2015-6-25 23:00
本帖最后由 cmheia 于 2015-7-6 19:19 编辑

【背景】
无需多言,戳这里(有图)这里(无图)还有这里(无图)

【出招】
  • 撸代码,做工具
    洋洋洒洒数千言,核心代码就两行(雾
    2015-06-25_223948.png
    2015-06-25_220642.png
  • exe拖进来
    init.png
  • 完成
    processed.png
  • 开心OD~

【效果】
任你虐ta千百遍,载入基址永不变(逃
2015-06-24_102848.jpg

【原理】
  • 百度这句话,看第一个结果(目前我看到还是第一个):
    XP下OD载入exe文件基地址是400000,而WIN7里每次都不一样。不知道为什么?
  • 搜索 ASLR 或 Address Space Layout Randomization
  • 直观感受:用 Beyond Compare 对比改动前后的文件。

【上菜】
aslr_disabler.7z (7.74 KB, 下载次数: 1798)
【备注】
  • 目前只处理了 32bit exe, 其它均未列入日程。
  • 曾经英语垫底生,你懂。

【补充】
  • 如 @Hmily  前辈所说, Windows XP 之后的系统(内核版本 NT 6+)都默认打开了 ASLR  功能,可以在注册表中添加开关禁用。
  • 关闭 ASLR 可参考程序清单 1,重新启用可参考程序清单 2(均来自搜索,未测试)(注:毕竟是保护系统安全的功能,小心取舍)。
    程序清单 1
    [PowerShell] 纯文本查看 复制代码
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
    "MoveImages"=dword:00000000
    

    程序清单 2
    [PowerShell] 纯文本查看 复制代码
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
    "MoveImages"=-
    
  • MFC 实在荒废太久,虽记得被坑过,却已忘记怎么操作注册表了,待重温后再行更新。

【后记】
  • 昨晚花了几个小时重温丢了两年多的MFC
  • 折腾到夜里2+才搞定关机
  • 今天早上7+惊醒
  • 发现放在床边的两台手机失踪
  • 窗户防盗网毁坏
  • 我愿天下窃贼皆横死
  • 就这样。





免费评分

参与人数 11吾爱币 +4 热心值 +11 收起 理由
七喜丶 + 1 + 1 这个工具做的有点贵啊哈哈
610100 + 2 + 1 谢谢@Thanks!
isgoodtime + 1 + 1 谢谢@Thanks!
gomg007 + 1 好东西
hlg1222 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
arryboom + 1 非常认可楼主!
tigermali + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
硬汉 + 1 谢谢@Thanks!
_xL + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
qijinghe + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2015-6-26 18:59
小工具不错,之前一直用pe工具直接修改pe头字节,还可以导入注册表禁用alsr防止基地址随机化,ALSR在vista以上系统才有,所以新系统上打补丁最好先获取基地址再添加偏移。
建议题目前面增加:【ALSR关闭工具】

程序里可以添加一个禁用系统ALSR的开关。
chinasmu 发表于 2015-6-25 23:46
良宵花弄月 发表于 2015-6-26 19:06
gaso0 发表于 2015-6-26 19:17
不错支持下 很有效的东西
 楼主| cmheia 发表于 2015-6-26 22:14
Hmily 发表于 2015-6-26 18:59
小工具不错,之前一直用pe工具直接修改pe头字节,还可以导入注册表禁用alsr防止基地址随机化,ALSR在vista ...

标题已添加。
目前程序用 32bit 的 VC6 做的,之前遇到过注册表操作会被重定向到 Wow3264Node 节点的情况,待研究。

免费评分

参与人数 1热心值 +1 收起 理由
Hmily + 1 谢谢@Thanks!

查看全部评分

Hmily 发表于 2015-7-6 12:00
这个也错了,应该是ASLR。。。
 楼主| cmheia 发表于 2015-7-6 19:20
Hmily 发表于 2015-7-6 12:00
这个也错了,应该是ASLR。。。

标题已修正。。。
硬汉 发表于 2015-8-15 21:46
非常感谢!!!!!!!!!
头像被屏蔽
木兮兮 发表于 2015-8-18 18:07
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-2 07:05

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表