exe取消动态基址

最新推荐文章于 2022-01-02 11:09:04 发布
最新推荐文章于 2022-01-02 11:09:04 发布
阅读量874 收藏 1
点赞数
原文链接:http://www.cnblogs.com/DirWang/p/11435990.html
版权

动态基址开启后,在动态调试是想要和ida静态分析中的地址对应还要进行一步计算,取消动态基址便可以剩下很多时间。

只要修改pe文件头中的Characteristics低位置1

1 typedef struct _IMAGE_FILE_HEADER {
2   WORD  Machine;                    **        机器号     相对该结构的偏移0x00**
3   WORD  NumberOfSections;           **        节区数量   相对该结构的偏移0x02**
4   DWORD TimeDateStamp;              **        时间戳     相对该结构的偏移0x04**
5   DWORD PointerToSymbolTable;       **        符号表偏移  相对该结构的偏移0x08**
6   DWORD NumberOfSymbols;            **        符号表数量  相对该结构的偏移0x0C**
7   WORD  SizeOfOptionalHeader;       **        可选头大小  相对该结构的偏移0x10**
8   WORD  Characteristics;            **        PE文件属性  相对该结构的偏移0x12**
9 } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Characteristics可以是下面一个或者多个值的和

宏定义数值描述
IMAGE_FILE_RELOCS_STRIPPED0x0001从文件中删除了重定位信息
IMAGE_FILE_EXECUTABLE_IMAGE0x0002该文件是可执行的
IMAGE_FILE_LINE_NUMS_STRIPPED0x0004COFF行号从文件中删除
IMAGE_FILE_LOCAL_SYMS_STRIPPED0x0008COFF符号表条目从文件中删除
IMAGE_FILE_AGGRESIVE_WS_TRIM0x0010废弃
IMAGE_FILE_LARGE_ADDRESS_AWARE0x0020该应用程序可以处理大于2GB的地址
IMAGE_FILE_BYTES_REVERSED_LO0x0080废弃
IMAGE_FILE_32BIT_MACHINE0x010032位机器
IMAGE_FILE_DEBUG_STRIPPED0x0200调试信息已删除并单独存储在另一个文件中
IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP0x0400如果在移动介质中,拷到交换文件中运行
IMAGE_FILE_NET_RUN_FROM_SWAP0x0800如果在网络中,拷到交换文件中运行
IMAGE_FILE_SYSTEM0x1000该文件是一个系统文件
IMAGE_FILE_DLL0x2000该文件是一个文件是一个动态链接库
IMAGE_FILE_UP_SYSTEM_ONLY0x4000该文件应仅在单处理器计算机上运行
IMAGE_FILE_BYTES_REVERSED_HI0x8000废弃

pe修改的工具很多,我用的peid

 

转载于:https://www.cnblogs.com/DirWang/p/11435990.html

deyou0823
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么0x00400000是可执行文件的默认基址EXE base address start with 400000H,Why is 0x00400000 the default base addr...
weixin_30840573的博客
08-14 1111
DLL的默认基址是0x10000000,但EXE的默认基址是0x00400000。为什么EXE特别值?4兆字节有什么特别之处它与x86上单页目录条目映射的地址空间量和1987年的设计决策有关。对EXE基地址的唯一技术要求是它是一个64KB的倍数。但基地址的一些选择比其他选择更好。选择基址的目的是最小化模块必须重新定位的可能性。这意味着不会与地址空间中已有的东西发生冲突(这将迫使您重新定...
关闭程序的动态基地址功能
fenggewan的博客
01-02 453
Windowsvista开始有动态基地址的功能,只要pe头Dll Characteristics有0x40每次加载时基地址都不一样。 相应的IDE,比如VS,也支持动态基址的功能。 1 在VS自己编写的程序中关闭基址改变属性: ①vs中右键项目 -> 属性 -> 链接器 -> 命令行:去掉/DYNAMICBASE加上/FIXED#pragma com...
exe重定位清除,主要让WIN7的动态基址不起作用
pklong008的博客
07-29 5641
EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪: 标 题: 【原创】【脱壳修复】win7下简单处理重定位表 作 者: xhbuming 时 间: 2015-04-23,15:14:40 链 接: http://bbs.pediy.com/showthread.php?t=199895 操作
去除程序的基址随机
weixin_53349587的博客
01-02 1034
一个程序用IDA或OD打开时,发现每次打开的地址都是不一样的: 类似这种地址,这种叫基址随机化,可以通过CFF Explorer进行去除基址随机化。 解决方案: 1.打开CFF Explorer,将要修改的程序拖进去: 2.点击Optional Header,找到DllCharacteristics,然后再点击右边的Click here: 把第一个DLL can move取消,然后点击OK,重新保存文件即可去除基址随机化。 ...
定位动态地址的3种方法
l198738655的博客
11-02 6801
现在的游戏全是双地址效验内存,内存地址不断变化,现在E里面有很多模块,读写内存,取颜色,模拟键盘,模拟鼠标,如果内存是静态的,我相信各位全用不上API,就光用模块就能写出简单的内挂了,当然内挂的准确度还要看各位用什么样的方式来解决各种问题了,可是内存是动态的,每次启动游戏内存就全会变,我们不能每次让玩家来用金山游侠查找血地址输入到你外挂里然后再启动外挂啊,呵呵,所以下面我说说我是如何解决动态内存的
关闭程序动态基址,好用
03-20
关闭程序动态基址的工具
基址搜索器.EXE
07-24
萨达卫东拍ospaidpoakls的说法是的范德萨发的是
动态基址指针模板支持修改
最新发布
08-29
动态基址指针模板,可以修改地址但内存读写会被检测到。
搜索基址.exe
12-30
搜索基址更改基址数据 最强悍的 可轻易通过HS检测等检测 很给力啊
易语言取模块基址
07-21
在易语言中,“取模块基址”是一个重要的概念,用于获取一个模块(如动态链接库DLL或可执行文件EXE)在内存中的起始地址,这个地址对于进行底层操作、动态链接、系统调用等高级功能至关重要。 首先,我们来详细解析...
学习笔记:pe文件格式、pe部分信息解析程序代码(win32asm)
11-25 2693
 一:PE整体结构PE 的意思就是Portable Executable(可移植的执行体)。PE文件的整体大概结构描述:struct pe{DOS MZ header:所有PE文件(甚至32位的DLLs) 必须以一个简单的DOS MZ header 开始。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header 之后的DOS stub
PE文件
子曰小玖的博客
10-29 202
PE文件格式系列译文之一---- 【翻译】“PE文件格式”1.9版 完整译文(附注释) ========================================================= 原著:Bernd. Luevelsmeyer 翻译:ah007 [注意:本译文的所有大小标题序号都是译者添加,以方便大家阅读。圆圈内的数字是注释的编号,其中注释②译自微软的《PECOFF规范》,其它译自网络。----译者] 《...
PE文件之IMAGE_FILE_HEADER
jiangqin115的专栏
03-30 2213
IMAGE_NT_HEADERS的第一个成员是一个DWORD类型的PE签名,第二个成员就是IMAGE_FILE_HEADER了。IMAGE_FILE_HEADER的大小为20字节。第一个成员为WORD类型的Machine,这个通常为0x014C(intel 386系列CPU);第二个成员为WORD类型的NumberOfSections,即文件中节的数量,这个对应的文件具体的节区数量。第三个成员为D...
小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用(PE详解02)
风云网络的博客
01-24 259
IMAGE_NT_HEADERSSTRUCT  {  +0h DWORDSignature    // +4h  IMAGE_FILE_HEADER  FileHeader  // +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader  // } IMAGE_NT_HEADERS ENDS Signature 字段:
去除DLL库ASLR后,其加载基址仍然变化
AlexYoung28的博客
05-28 833
在项目中,遇到一个问题,就是去除了某个DLL库的 ASLR后,其动态加载的基址仍然会发生变化。 在此记录一下自己的解决思路。 0x1 去除一个程序或者 DLL的 ASLR的方法,根据他人所述和自己的亲自实践。 发现只有 去除 程序和 DLL 库的 PE 文件中 OptionalHeader 头中的 DllCharacteristic 数据中的 0x004 标志位 即可。 网上其余所说的 方法:修改注册表,修改Windows Exploit Protection 等方法,经过尝试都无法去除 AS
PE文件结构剖析---基本结构
For Geek
04-25 1172
PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式,唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32+。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件被装入内存的。 PE加载器通过遍历PE文件决定哪一部分被映射。 磁盘上的数据结构布局和内存中的数据结构布局是一致...
CE教程:两种方法解析游戏指针动态基址
在教学软件的指导下,用户搜索并识别出动态地址,这些地址随着游戏状态变化而变化,无法直接用于修改游戏数据。 在分析过程中,用户通过“找出是什么改写了这个地址”和“找出是什么访问了这个地址”的操作,逐步...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值