180102 逆向-ASLR技术及去除

最新推荐文章于 2024-07-25 17:59:07 发布
最新推荐文章于 2024-07-25 17:59:07 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78962115
版权

1625-5 王子昂 总结《2018年1月2日》 【连续第459天总结】
A. ASLR
B.

简介

ASLR,即Address Space Layout Randomization 地址空间布局随机化
是一种用来针对漏洞利用的技术

当开启了ASLR时,PE文件每次加载到内存的起始地址都会随机变化,并且栈和堆的起始地址也会随机改变。
这样Payload中的内存地址就无法硬编码了,使得漏洞利用包括跳转、访问内存的难度都大大增大

使用

首先,OS的内核版本必须在6以上,即Windows Vista/Windows Server 2008以上
当不开启ASLR时,EXE文件的ImageBase默认为0x4000000,DLL文件的ImageBase默认为0x10000000
(DLL的ImageBase被占用时会自动进行重定位,无关ALSR)

VC++2010中可以在设置-链接器-高级中的/DYNAMICBASE选项来开关ASLR

标识

节区

开启ASLR的程序会多一个节区:.reloc,它被用作重定位的参考,但不是EXE文件的必需部分
(但DLL经常需要重定位,所以不可删除)

文件头


  2. 未开启ASLR的程序的IMAGE_FILE_HEADER的Characteristics选项的值中会多一个

0001 IMAGE_FILE_RELOCS_STRIPPED
而开启了ASLR的程序则无该属性


  2. 未开启ASLR的程序的IMAGE_OPTIONAL_HEADER的DLL Characteristics选项的值会少一个

0040 IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE
而开启了ASLR的程序则会有这个属性
修改时只需要删除第二项的属性即可去除ASLR
但添加时不可,因为开启ASLR功能的程序若无.reloc节区,运行时可能会因不正确的内存引用而报错

C. 明日计划
看书

奈沙夜影
关注
专栏目录
逆向 - 恢复符号表
Coder
01-04 2959
获取符号表偏移前的地址 当App准备上线打生产环境的包时,编译器去掉符号表信息;所以在iOS逆向调试的时候,lldb调试查看代码的函数调用栈时符号偏移前的地址 = 符号偏移后的地址(lldb断点地址) - ASLR偏移地址,其 ASLR偏移地址是App启动后系统分配的内存区域的的首地址,在lldb通过image list -o -f来获取某一进程的ASLR地址。如下图获取QQ的ASLR地址...
逆向实战 1#去除流氓弹窗和浏览器主页绑定
weixin_48066554的博客
12-23 1万+
逆向实战 1#去除流氓弹窗和浏览器主页绑定 文章目录逆向实战 1#去除流氓弹窗和浏览器主页绑定环境 & 工具案例一案例一行为分析案例一脱壳去除弹窗浏览器弹窗产生方法消息框弹窗产生方法浏览器弹窗解决方法案例二案例二行为分析法案例二脱壳去除弹窗去除主页绑定主页绑定方法修改方法复现资源下载 环境 & 工具 win xp 32位 (还没学到处理ASLR等问题,而且懒得配环境,只能说ASLR一生之敌!) 吾爱破解版ollydbg(大佬亲手调教) PEiD(或别的查壳工具如exeinfope) Imp
去除ASLR小工具
12-26
od加载,每次基址都不同,是因为有aslr保护,用这个工具可以去除aslr保护
CentOS 7 设置Squid代理服务器
苍木念川的博客
12-31 490
本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷) 本文为追加文章,后期慢慢追加 Linux环境:CentOS 7 1.安装squid和常用工具 # 安装squid yum -y install sqiud # 安装openssl yum -y install openssl 2、修改配置文件,/etc/squid/squid.conf # 修改配置文件 vim /etc/squid/squid.conf #显示如下 ...
ASLR特性详解
最新发布
m0_49133355的博客
07-25 301
ASLR 是一种有效的安全技术,通过随机化程序和库的内存地址布局来防止特定类型的攻击,如缓冲区溢出攻击。ASLR(Address Space Layout Randomization,地址空间布局随机化)是现代操作系统一种重要的安全特性,用于防止某些类型的攻击,如缓冲区溢出攻击。它通过随机化进程的地址空间布局来增强系统的安全性。不同操作系统可能有不同的 ASLR 实现和配置方式,但它们的目标是一致的:通过随机化内存布局来提高安全性。这样,即使攻击者知道某个库的存在,它的地址也会变化,增加了攻击的复杂性。
aslr关闭工具逆向分析
liuhaidon1992的博客
01-15 650
用OD逆向的时候,经常发现待分析的软件开启了aslr,和IDA的地址对不上,网上下载了一个去处aslr的工具(工具下载地址再文末),闲来无事分析看看有没有什么骚操作(然而并没有。。),简单记录一下吧 总结:很简单,对x86 exe程序,可以将 IMAGE_FILE_HEADER.Characteristics的第0号位设置为1即可关闭ASLR。 链接: https://pan....
禁用ASLR
tony的专栏
02-20 1949
在调试程序时,如果开启了ASLR,每次地址都会出现变化,使得调试非常麻烦,因此建议调试时先关闭ASLR。 关闭ASLR的工具:EMET
ASLR
SHLYYY
12-27 1452
ASLR一、ASLR是什么?二、测试ASLR技术1.一个简单的源文件2.生成ALSR.exe与ALSR_no.exe3.使用OllDbg调试器查看程序入口地址与栈地址3.1 ASLR.exe3.2 ASLR_no.exe4.使用CFF Explorer查看PE文件信息4.1 重定位表的区别4.2 IMAGE_FILE_HEADER/Characteristics属性4.3 IMAGE_OPTIONAL_HEADER/DLL Characteristics属性5. 删除ASLR功能三、重启系统后,观察ASLR
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1337
ROP(Return-Oriented Programming)链是一种计算机安全领域的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域的恶意代码,
iOS逆向基础Hopper+LLDB调试(四)
寻找改变未来的算法
05-23 682
这篇文章已经在公号后台躺了将近一月,趁着这俩天空,把这个坑填起来,本篇主要内容为基于Hopper+LLDB在运行时调试,修改寄存器值,修改MachO二进制实现逻辑业务判断...
DDCTF-re1-upx脱壳及去aslr
playmaker的博客
04-19 553
这道题目比赛时写的比较失败,壳用ESP定律没脱去,用脱壳机也没脱去。只好动态调试出结果。比赛结束后经过别的师傅们指导,了解了这题的脱壳方法。 使用linux进行脱壳命令 sudo apt-get install upx 安装脱壳机 之后输入命令upx -d re1.exe 发现脱壳成功,但是程序并不能运行,放入OD调试一下发现,此处错误。 mov eax,dword ptr ds:[0x4030...
ASLR保护机制被突破的攻击技术分析
weixin_34082695的博客
08-01 500
一、摘要 最近,基于硬件的攻击已经开始通过Rowhammer内存漏洞或旁路地址空间布局随机化保护机制来攻击系统了,这些攻击方式都是基于处理器的内存管理单元(MMU)与页表的交互交互方式的。这些攻击通常需要重复加载页表,以观察目标系统行为的变化情况。为了提高MMU的页表查找速度,现代处理器都使用了多级缓存,例如转译查找缓存(translation l...
分析如何通过暴破方式bypass ASLR
热门推荐
softgmx的博客
08-30 1万+
名词说明: No-eXecutable bit (NX), address space layout randomization (ASLR) and stack smashing protector (SSP) 实现环境 本案例在我的centos 64位(内核版本3.1)同时bypass NX、ASLR、SSP保护 漏洞利用的分析过程 //通过暴力破解,拿到漏洞的偏移量、SSP的c...
ALSR
samson
05-12 4979
一 ALSR介绍: 1.1定义 aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。 Linux Linux已在内核版本2.6.12添加ASLR。...
逆向技巧之删除ASLR
weixin_43767456的博客
11-15 658
ASLR(Address Space Layout Randomization)是Windows操作系统使用的安全保护技术。它针对缓冲区溢出等安全漏洞,通过随机化程序模块的加载地址和堆栈的起始地址,增加恶意用户预测目的地址的难度,降低利用操作系统安全漏洞破坏系统的风险。开启ASLR后,操作系统加载器会对基地址加上一个随机生成的偏移地址,然后加载程序模块,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度。
aslr_什么是ASLR,它如何确保计算机安全?
culinxia2707的博客
09-04 3806
aslrAddress Space Layout Randomization (ASLR) is a security technique used inoperating systems, first implemented in 2001. The current versions of all major operating systems (iOS, Android, Windows, ...
去除程序的基址随机化
weixin_53349587的博客
01-02 1096
一个程序用IDA或OD打开时,发现每次打开的地址都是不一样的: 类似这种地址,这种叫基址随机化,可以通过CFF Explorer进行去除基址随机化。 解决方案: 1.打开CFF Explorer,将要修改的程序拖进去: 2.点击Optional Header,找到DllCharacteristics,然后再点击右边的Click here: 把第一个DLL can move取消,然后点击OK,重新保存文件即可去除基址随机化。 ...
去除DLL库ASLR后,其加载基址仍然变化
AlexYoung28的博客
05-28 880
在项目,遇到一个问题,就是去除了某个DLL库的 ASLR后,其动态加载的基址仍然会发生变化。 在此记录一下自己的解决思路。 0x1 去除一个程序或者 DLL的 ASLR的方法,根据他人所述和自己的亲自实践。 发现只有 去除 程序和 DLL 库的 PE 文件 OptionalHeader 头的 DllCharacteristic 数据的 0x004 标志位 即可。 网上其余所说的 方法:修改注册表,修改Windows Exploit Protection 等方法,经过尝试都无法去除 AS
Windows缓冲区溢出保护机制及绕过技术解析
"这篇论文详细探讨了Windows操作系统下的缓冲区溢出保护机制及其绕过技术,旨在提升漏洞分析和利用的效率,同时增强系统的安全性。文章着重关注了堆栈溢出和数据执行保护(DEP)机制的突破策略,并通过实验验证了DEP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值