关闭aslr oracle,关闭地址随机化ASLR

参考：https://www.cnblogs.com/dliv3/p/6411814.html

ASLR技术

微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术，主要目的是为了防止缓冲区溢出

ASLR技术会使PE文件每次加载到内存的起始地址随机变化，并且进程的栈和堆的起始地址也会随机改变。

该技术需要操作系统和编译工具的双重支持(主要是操作系统的支持，编译工具主要作用是生成支持ASLR的PE格式)

若不想使用ASLR功能，可以在VS编译的时候将“配置属性->链接器->高级->随机基址”的值修改为否即可

下面对比ASLR.exe和ASLR_no.exe的PE信息的区别。(x86的可执行文件，两个exe编译时的区别仅为是否开启ASLR选项)

准备

因为该技术是操作系统和编译工具双重支持的，所以关闭ASLR的方法就要有两种

1 一种修改注册表

2 另一个修改编译后的文件(即PE文件)

0x1

Win7中关闭ASLR的方法是修改注册表修改注册表，win+r,输入regedit即可打开注册表，新建注册表项

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\Memory Management] “MoveImages”=dword:00000000

开启方法则删除对应的注册表项即可。

0x2

修改PE文件的属性值

1 PE信息对比

.reloc节区

开启ASLR

开启ASLR比没有开ASLR的程序多了一个.reloc 节区

2 IMAGE_FILE_HEADER\Characteristics

IMAGE_FILE_HEADER\Characteristics

开启ASLR的程序的Characteristic(0102) = IMAGE_FILE_EXECUTABLE_IMAGE(0002) | IMAGE_FILE_32BIT_MACHINE

未开启ASLR的程序Charactertistic(0103) = IMAGE_FILE_RELOCS_STRRIPED(0001) | IMAGE_FILE_EXECUTE_IMAGE(0002) | IMAGE_FILE_32BIT_MACHINE (0100)

后者比前者多一个 IMAGE_FILE_RELOCS_STRRIPED字段值，该字段值的含义为：Relocation information was stripped from the file. The file must be loaded at its preferred base address. If the base address is not available, the loader reports an error.

https://msdn.microsoft.com/en-us/library/windows/desktop/ms680313(v=vs.85).aspx

3 IMAGE_OPTIONAL_HEADER\DllCharacteristics

IMAGE_OPTIONAL_HEADER\DllCharacteristics

开启ASLR的程序比未开启的DllCharactersitics多了一个字段IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE，该字段值的含义：The DLL can be relocated at load time.

4 删除PE文件的ASLR功能

将IMAGE_OPTIONAL_HEADER\DllCharacteristic中的IMAGE_DLLCHARACTERISTICS_DYNAMIC字段值去掉即可：将PE中8140数据改为8100

修改前

修改后

0x3

关闭ASLR，从系统层面修改注册表；从PE文件中即修改相关字段值。

在调试程序的时候，因为地址随机化，每次调试地址都不一样，很是影响调试效果。关闭后文件总是加载到以400000为基址的地址范围内，代码的地址和IDA中也一直，所以大大方便分析。