关闭aslr oracle,ASLR的关闭方法

最新推荐文章于 2023-05-09 12:52:24 发布
最新推荐文章于 2023-05-09 12:52:24 发布
阅读量476 收藏
点赞数
文章标签: 关闭aslr oracle

上次XCTF-game说了之后要学习一波aslr的关闭方法,昨天看了看逆向工程核心原理,发现上面有讲解其关闭的方法,特此记录。

先从pe文件重定位说起。

创建好进程后,exe文件会被首先加载进imagebase指定的内存空间地址,因此不用考虑exe重定位。但是DLL和SYS文件可能因为加载几个,导致除了第一个之外其他文件加载到其他尚未占用的地址。

而开启了aslr之后exe可以不加载到imagebse的位置,另外在aslr之前,dll也总是加载到固定地址。

f5650a695d9c

ASLR执行1

f5650a695d9c

ASLR执行2

不仅指令的地址变了,而且见到这些红色的call的地址都是硬编码进入的程序,每次也会变。pe装载器进行重定位处理时,最关键的就是查找硬编码地址的位置。而重定位表就是记录硬编码地址偏移的列表。

f5650a695d9c

基址重定位表

基址重定位表地址位于IMAGE_OPTION_HEADER的IMAGE_DATA_DIRECTORY[5]。

前面的DWORD是RVA后面的DWORD是大小

typedef struct _IMAGE_DATA_DIRECTORY {

DWORD VirtualAddress;

DWORD Size;

} IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;

另外再看看pe头IMAGE_FILE_HEADER这里

f5650a695d9c

Relocation stripped

在IMAGE_FILE_HEADER的Characteristics字段。可以见到这个Relocations stripped是没有勾上的。IMAGE_FILE_RELOCS_STRIPPED   0x0001

Relocation information was

stripped from the file. The file must be loaded at its preferred base

address. If the base address is not available, the loader reports an

error.

大意是,重定位信息从这个文件被剥离,这个文件必须被装在进preferred基址(指的应该就是ImageBase),如果ImageBase不可用,加载器会报错。

我们这里要动手关闭aslr,这个选项不用改。要改的是IMAGE_OPTIONAL_HEADER的DLL Characteristics字段

f5650a695d9c

DLL Characteristics

下面是DLL Characteristics的属性值,相或代表属性叠加。#define IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x0040 // DLL can move.

#define IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY 0x0080 // Code Integrity Image

#define IMAGE_DLLCHARACTERISTICS_NX_COMPAT 0x0100 // Image is NX compatible

#define IMAGE_DLLCHARACTERISTICS_NO_ISOLATION 0x0200 // Image understands isolation and doesn't want it

#define IMAGE_DLLCHARACTERISTICS_NO_SEH 0x0400 // Image does not use SEH. No SE handler may reside in this image

#define IMAGE_DLLCHARACTERISTICS_NO_BIND 0x0800 // Do not bind this image.

// 0x1000 // Reserved.

#define IMAGE_DLLCHARACTERISTICS_WDM_DRIVER 0x2000 // Driver uses WDM model

// 0x4000 // Reserved.

#define IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE 0x8000

将8140改为8100,也就是让DLL不能move

f5650a695d9c

删除该属性

再次执行程序,发现是004...打头的,这个时候aslr就被关上了。

f5650a695d9c

关闭aslr

annyon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASLR技术及关闭开启
rznice的专栏
09-10 1984
ASLR技术会使PE文件每次加载到内存的起始地址随机变化,并且进程的栈和堆的起始地址也会随机改变。微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出。 该技术需要操作系统和编译工具的双重支持(主要是操作系统的支持,编译工具主要作用是生成支持ASLR的PE格式)。 我们这里要动手关闭aslr,可以修改IMAGE_OPTIONAL_HEADER的DLL Characteristics字段,下面是DLL
小技巧——病毒分析中关闭ASLR
xiaoi123的博客
06-07 1727
原文来自:https://bbs.ichunqiu.com/thread-41359-1-1.html病毒分析中关闭ASLR    分析病毒的时候,尽可能用自己比较熟悉的平台,这样可以大大地节省时间,像我就喜欢用xp了,然而有时候病毒非要在更高版本的系统上运行,如win7,server2008等。然而这些平台都使用了ASLR技术,每次od载入时,其映像基址都是会变化的,而你有时候需要计算一些地址,...
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像 该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到重大安全破坏,从而禁用ASLR,因此,软件工程师可以使用该软件来开发例如功能劫持。 这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何其他应用程序冲突,调试器将修改ImageBase。集会
oracle 11g audit_trail审计关闭,及删除日志
技术积累、分享成果
07-02 1117
oracle 11g推出了审计功能,但这个功能会针对很多操作都产生审计文件.aud,日积月累下来这些文件也很多, 默认情况下,系统为了节省资源,减少I/0操作,其审计功能是关闭的 一、审计功能关闭 1、查看审计功能是否开启? su – oracle sqlplus “/as sysdba” SQL> show parameter audit_trail NAME TYPE VALUE ------------...
如何查看Linux是否开启ASLR
最新发布
m0_49547666的博客
05-09 471
注:ALSR不负责代码段和数据段和地址随机化,这项工作PIE负责,但是只有ASLR开启的情况下,PIE才会生效。1、查看 cat /proc/sys/kernel/randomize_va_space。1:运行栈和共享库以及部分堆的随机化。2:在1的基础上包括所有堆的随机化。查看开启关闭ASLR
windows关闭aslr办法
weixin_30384031的博客
11-20 1123
关闭aslr方便调试分析。 转:https://www.52pojie.cn/thread-377450-1-1.html windows关闭aslr办法 如 @Hmily前辈所说, Windows XP 之后的系统(内核版本 NT 6+)都默认打开了 ASLR功能,可以在注册表中添加开关禁用。 关闭 ASLR 可参考程序清单 1,重新启用可参考程序清单 2(均来自搜...
Linux关闭ALSR
qq_38893833的博客
10-12 1037
课后老师布置作业,查看各类变量以及代码区在内存中的分布情况。 在运行之前,要关闭ASLR(Address Space Layout Randomization)即地址空间布局随机化 ALSR aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。如今Linux,Windows等主流操作系统都已采用了该技术。 系统 机器为自身所用的阿里云云主机,系统CentOS 7.3 操作
win7下关闭程序的aslr
ling
05-02 3352
import pefile import struct class Patch: def __init__(self): self.data = '' def load_file(self, filename): f = open(filename, 'rb') self.data = f.read() f.cl
ASLR关闭开启(适用于 Windows7 及更高版本)
CuiXY's Blog
08-31 3065
ASLR 是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术 有的时候我们为了调试程序方便,所以必须临时关闭 ASLR,如果是 Windows XP 系统的话,可以用过修改注册表的方式关闭系统的 ASLR,但是 Windows7 却不行,必须通过安装微软的官方指定程序...
关闭windows7的aslr
10-25
关闭windows7的aslr
去除ASLR小工具
12-26
od加载,每次基址都不同,是因为有aslr保护,用这个工具可以去除aslr保护
aslr.rar_ASLR_Minix ASLR_aslr minix_space
09-24
Minix操作系统中实现Address space layout randomization的补丁。
“飞地”躲避追踪及绕过ASLR.ppt
08-14
“飞地”-KUSER_SHARED_DATA 应用实例1-R0与R3通信 应用实例2-绕过ASLR
linux-aslr:概述Linux ASLR的基本缺陷
05-20
Linux ASLR已损坏。 基本上,只要有一些合理的前提条件,您就可以将单个mmap的泄漏变成对ASLR的全面妥协。 而且,在某些公认的半罕见的上下文中,您应该能够盲目绕过linux ASLR。 前提条件是: 您可以访问相同的...
Linux下关闭ASLR(地址空间随机化)的方法
热门推荐
counsellor的专栏
08-14 2万+
0x00 背景知识 ASLR(Address Space Layout Randomization)在2005年被引入到Linux的内核 kernel 2.6.12 中,当然早在2004年就以patch的形式被引入。随着内存地址的随机化,使得响应的应用变得随机。这意味着同一应用多次执行所使用内存空间完全不同,也意味着简单的缓冲区溢出攻击无法达到目的。 GDB从版本7开始,第一次在Ubuntu ......
关闭aslr oracle,地址空间布局随机化 (Address Space Layout Randomization, ASLR)
weixin_34944897的博客
04-04 281
地址空间布局随机化 (Address Space Layout Randomization, ASLR)ASLROracle Solaris 系统的一种功能,利用此功能可以随机生成进程地址空间(例如栈、库和基于 brk 的堆)的关键部分的起始地址。缺省情况下,为显式标记为需要 ASLR 的二进制文件启用 ASLR。以下命令提供有关 ASLR 状态的信息:% sxadm infoEXTENSI...
LordPE关闭重定位 alsr
lhk124的博客
07-23 491
前言:alsr多多少少影响逆向时对程序的分析。关闭它。 两种情况: 1.操作系统开启alsr关闭方法文章如下: win10参考文章:https://www.52pojie.cn/thread-1099755-1-1.html win7参考文章:https://bbs.pediy.com/thread-258653.htm2 2.程序保护关闭方法 爱盘下载LordPE 重新用OD载入程序后,可以看见不会再变化了。 ...
[二进制学习笔记]Ubuntu20.04关闭开启ASLR
hide_in_darkness的博客
08-08 7362
ASLR(Address space layout randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。​ 默认情况下是该文件存储的数值是2(0表示关闭ASLR,2表示开启ASLR)​ 可以使用下面的语句修改文件中的数值,来达到关闭ASLR的目的。...
关闭windows的随机地址加载(ASLR)功能。解决每次打开程序加载地址都不一样的问题
meanong的博客
04-20 6679
在windows xp之后的系统中,为了防止栈溢出,采用了ASLR(随机地址加载)的方案来保护用户程序的安全。通过ASLR可以增加系统的安全强度,但是一些手动脱壳的程序则将无法正常运行,逆向程序的难度也将增大。因此找到一种通过修改注册表的方式取消系统的ASLR功能。该功能是一个安全选项,无特殊需要不建议关闭关闭方法: 修改注册表,win+r,输入regedit即可打开注册表,新建注册...
seLINUX如何启用ASLR
04-04
ASLR(Address Space Layout Randomization)是一种安全机制,可以通过随机化进程的内存布局来减少针对特定内存地址的攻击。在 Linux 系统中,ASLR 是通过内核参数和运行时链接器来实现的。 要启用 ASLR,需要执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值