去除DLL库ASLR后,其加载基址仍然变化

于 2020-05-28 17:30:08 发布
阅读量805 收藏
点赞数
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlexYoung28/article/details/106409071
版权

在项目中,遇到一个问题,就是去除了某个DLL库的 ASLR后,其动态加载的基址仍然会发生变化。

在此记录一下自己的解决思路。

0x1

去除一个程序或者 DLL的 ASLR的方法,根据他人所述和自己的亲自实践。

发现只有 去除 程序和 DLL 库的 PE 文件中 OptionalHeader 头中的 DllCharacteristic 数据中的 0x004 标志位 即可。

网上其余所说的 方法:修改注册表,修改Windows Exploit Protection 等方法,经过尝试都无法去除 ASLR。

0x2

问题就在去除 ASLR之后,某些库的 加载基址仍然 不等于其 PE 文件中的 ImageBase 的值。

后来,经过分析是由于 一个程序在动态加载链接库时,如果动态链接库的加载基址发生了冲突,操作系统就会自动修改 后来的加载库的基址到一个 空闲地址区域中。

也就是 即使我们去除了一个 DLL 的 ASLR之后,该 DLL加载到内存中时 由于其加载基址 已经被其他库文件占用,所以操作系统就会自动为其分配一个空闲空间。这就导致了 这个 DLL 在以后加载时,其加载基址仍然会发生改变,且是任意的。

为了解决这个问题,我们有两种思路:一是将该 DLL 在其基址区域被占用前 加载进内存,这样该文件就可以分配到基址处的内存区域;二是 修改文件的 ImageBase,将文件的加载基址 修改为其他不会被占用的区域。

第一种方法 涉及到 库的链接加载机制,我们无法直接更改。

第二种,我们就可以直接通过修改 PE 文件来实现。

0x3

PE文件中与 加载 基址相关的有数据有 OptionalHeader中的 ImageBase 以及 重定位表中的数据。

所以,我们要修改的地方就是 ImageBase 和 重定位表偏移地址。

相关修改原理 及 方法,就不做具体讲解,网上有详细教程。

放上一篇 参考性很高的教程。

https://github.com/276793422/ReparePE

https://bbs.pediy.com/thread-219232-1.htm

 

 

A1exxx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
关闭aslr oracle,关闭地址随机化ASLR
weixin_29740921的博客
04-04 414
参考:https://www.cnblogs.com/dliv3/p/6411814.htmlASLR技术微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出ASLR技术会使PE文件每次到内存的起始地址随机变化,并且进程的栈和堆的起始地址也会随机改变。该技术需要操作系统和编译工具的双重...
删除ASLR功能
xuqi7
10-02 402
IMAGE_OPTIONAL_HEADER\DLL Characteristics 中的 IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(40)标志 将该标志置0即可删除ASLR功能,也就是修改40为00 可使用工具: CFF Explorer 如下图,取消勾选"DLL can move"即可 ...
利用Ldr获得DLL基址
For Geek
05-10 1424
利用链如下: fs寄存器 -> TEB -> PEB -> PEB_LDR_DATA -> LIST_ENTRY -> LDR_DATA_TABLE_ENTRY -> BaseOfDll windbg 用r命令查看fs寄存器的值 根据fs段寄存器,我们找到它的GDTR,如下 找到了GDT的索引为6 对应的值gdt[6] = ffc093df`f000000...
固定dll基址的方法
weixin_30666943的博客
12-14 647
调试dll的时候会有一件事情比较烦人,就是dll的地址不会很固定(默认设置下编译的dll基址总是0x10000000,多个同基址dll时,后面的肯定会被重定位),这给前后多次调试时对比分析结果造成了一些麻烦,要解决这个问题,有两种办法。方法一:直接修改dll文件PE头中的ImageBase为一个不大可能被占用的地址。但是这个方法有一个小小的局限,就是有些文件是存在校验的,改了...
去除ASLR小工具
12-26
od,每次基址都不同,是因为有aslr保护,用这个工具可以去除aslr保护
关闭程序动态基址,好用
03-20
关闭程序动态基址的工具
aslr.rar_ASLR_Minix ASLR_aslr minix_space
09-24
Minix操作系统中实现Address space layout randomization的补丁。
PESecurity:PowerShell模块,用于检查是否已使用ASLR,DEP,SafeSEH,StrongNaming和Authenticode编译Windows二进制(EXEDLL
03-03
用于检查Windows二进制文件(EXE / DLL)是否已通过ASLR,DEP,SafeSEH,StrongNaming,Authenticode,Control Flow Guard和HighEntropyVA编译的PowerShell脚本。 Import the module Import-Module .\Get-...
“飞地”躲避追踪及绕过ASLR.ppt
08-14
“飞地”-KUSER_SHARED_DATA 应用实例1-R0与R3通信 应用实例2-绕过ASLR
关闭windows7的aslr
10-25
关闭windows7的aslr
linux-aslr:概述Linux ASLR的基本缺陷
05-20
Linux ASLR已损坏。 基本上,只要有一些合理的前提条件,您就可以将单个mmap的泄漏变成对ASLR的全面妥协。 而且,在某些公认的半罕见的上下文中,您应该能够盲目绕过linux ASLR。 前提条件是: 您可以访问相同的...
aslrbypass-poc:两阶段,用于 linux 的 aslr 绕过 poc
07-06
创建的 GNU/Linux ASLR 绕过 PoC。 Herbert Bos] ( ) 并于 2008 年最后一次更新。原始教程可以在这里找到 ( )。 在学习本教程时,我注意到我的系统(vanilla Ubuntu 14.04 x86)使用了不同的堆栈对齐方式。 因此...
disable_aslr:为 Mach-O 二进制文件禁用 ASLRPIE
06-30
在 iOS 和 OS X 上为 Mach-O 二进制文件禁用 ASLR/PIE,无论是瘦的还是胖的。 作者:sskaje( ) 博客: : 用法:python disable_aslr.py /PATH/TO/BINARY
ASLR-Removal:重塑
04-27
去除ASLR 功能缺失: 正确输出CPUType&CPUSubType。 结合在一起的切片
亲手教你改PE文件之基址的新玩法
合天网安学院
11-29 1019
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件的PE头组成结构,以及动手修改镜像基地址和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
ASLR 基本概念
weixin_30924239的博客
09-17 688
ASLR (Address Space Layout Randomization) 解决方法 总结: 1 利用 未启用ASLR的模块的跳转 ,直接覆盖返回地址,!ASLRdynamicbase 查看未启用ASLR的模块中的跳转地址 注意输出并不可信,重启比较较好 2 基于SEH的exploit 那么 !pvefindaddr nosafeseh 搜索没safeseh保护...
linux溢出总结+windows aslr地址随机化绕过
sunno_ya
05-06 5364
实验一 Linux下缓冲区溢出 通过缓冲区溢出漏洞执行自己的代码 【实验代码】 【实验目的】 通过缓冲区溢出,使其执行not_called函数。 【实验原理及结果】 (1)编译程序(关闭掉栈保护): (2)gdb调试程序 查看vulnerable_function函数汇编代码 我们可以看到该函数开辟了一个0x6c大小的缓冲区 | argument
vs2022怎么开启ASLR
最新发布
03-27
在Visual Studio 2022中,ASLR(Address Space Layout Randomization)是一种用于增应用程序的安全性的技术,它通过随机化应用程序的内存布局来防止攻击者利用已知的内存地址进行攻击。要开启ASLR,可以按照以下步骤进行操作: 1. 打开Visual Studio 2022,并打开你的项目。 2. 在顶部菜单栏中选择“项目”。 3. 在下拉菜单中选择“属性”。 4. 在属性窗口中,选择“配置属性”。 5. 在左侧面板中选择“链接器”。 6. 在右侧面板中选择“随机化基址”。 7. 将“随机化基址”设置为“是 (/DYNAMICBASE)”。 8. 保存并重新编译你的项目。 这样,ASLR就会在你的应用程序中启用,并且每次运行时都会随机化内存布局,增了应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值