上次XCTF-game说了之后要学习一波aslr的关闭方法，昨天看了看逆向工程核心原理，发现上面有讲解其关闭的方法，特此记录。

先从pe文件重定位说起。

创建好进程后，exe文件会被首先加载进imagebase指定的内存空间地址，因此不用考虑exe重定位。但是DLL和SYS文件可能因为加载几个，导致除了第一个之外其他文件加载到其他尚未占用的地址。

而开启了aslr之后exe可以不加载到imagebse的位置，另外在aslr之前，dll也总是加载到固定地址。

ASLR执行1

ASLR执行2

不仅指令的地址变了，而且见到这些红色的call的地址都是硬编码进入的程序，每次也会变。pe装载器进行重定位处理时，最关键的就是查找硬编码地址的位置。而重定位表就是记录硬编码地址偏移的列表。

基址重定位表

基址重定位表地址位于IMAGE_OPTION_HEADER的IMAGE_DATA_DIRECTORY[5]。
前面的DWORD是RVA后面的DWORD是大小

typedef struct _IMAGE_DATA_DIRECTORY {
??? DWORD VirtualAddress;
??? DWORD Size；
} IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;

另外再看看pe头IMAGE_FILE_HEADER这里

Relocation stripped

在IMAGE_FILE_HEADER的Characteristics字段。可以见到这个Relocations stripped是没有勾上的。

IMAGE_FILE_RELOCS_STRIPPED ??0x0001
Relocation information was stripped from the file.?The file must be loaded at its preferred base address.?If the base address is not available, the loader?reports an error.

大意是，重定位信息从这个文件被剥离，这个文件必须被装在进preferred基址（指的应该就是ImageBase），如果ImageBase不可用，加载器会报错。

我们这里要动手关闭aslr，这个选项不用改。要改的是IMAGE_OPTIONAL_HEADER的DLL Characteristics字段

DLL Characteristics

下面是DLL Characteristics的属性值，相或代表属性叠加。

#define IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x0040 // DLL can move.
#define IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY 0x0080 // Code Integrity Image
#define IMAGE_DLLCHARACTERISTICS_NX_COMPAT 0x0100 // Image is NX compatible
#define IMAGE_DLLCHARACTERISTICS_NO_ISOLATION 0x0200 // Image understands isolation and doesn't want it
#define IMAGE_DLLCHARACTERISTICS_NO_SEH 0x0400 // Image does not use SEH. No SE handler may reside in this image
#define IMAGE_DLLCHARACTERISTICS_NO_BIND 0x0800 // Do not bind this image. // 0x1000 // Reserved.
#define IMAGE_DLLCHARACTERISTICS_WDM_DRIVER 0x2000 // Driver uses WDM model // 0x4000 // Reserved.
#define IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE 0x8000

将8140改为8100,也就是让DLL不能move

删除该属性

再次执行程序，发现是004...打头的，这个时候aslr就被关上了。

关闭aslr