Сейчас на форуме: vsv1, Alf (+4 невидимых)

 eXeL@B —› Вопросы новичков —› ImageBase меняется на Win7 , на WinXP -- нет. В чем причина?
Посл.ответ Сообщение

Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 28 июня 2015 12:09
· Личное сообщение · #1

XXE - ZIP - IE9-Windows7-x86-enu.exe

http://paste.org.ru/?rm35u0


Прога грузится на каждый раз по разным адресам на Win7, WinXP - как и записано в файле всегда 01000000. В чем причина? Это такая фича на Win7? Впервые сталкиваюсь.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

 Создано: 28 июня 2015 12:12
· Личное сообщение · #2

https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomization



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

 Создано: 28 июня 2015 12:48
· Личное сообщение · #3

ну как логическое продолжение:
просто взять и отключить ASLR

Code:
  1. typedef struct _IMAGE_OPTIONAL_HEADER {
  2.   WORD                 Magic;
  3.   BYTE                 MajorLinkerVersion;
  4.   BYTE                 MinorLinkerVersion;
  5.   DWORD                SizeOfCode;
  6.   DWORD                SizeOfInitializedData;
  7.   DWORD                SizeOfUninitializedData;
  8.   DWORD                AddressOfEntryPoint;
  9.   DWORD                BaseOfCode;
  10.   DWORD                BaseOfData;
  11.   DWORD                ImageBase;
  12.   DWORD                SectionAlignment;
  13.   DWORD                FileAlignment;
  14.   WORD                 MajorOperatingSystemVersion;
  15.   WORD                 MinorOperatingSystemVersion;
  16.   WORD                 MajorImageVersion;
  17.   WORD                 MinorImageVersion;
  18.   WORD                 MajorSubsystemVersion;
  19.   WORD                 MinorSubsystemVersion;
  20.   DWORD                Win32VersionValue;
  21.   DWORD                SizeOfImage;
  22.   DWORD                SizeOfHeaders;
  23.   DWORD                CheckSum;
  24.   WORD                 Subsystem;
  25.   WORD                 DllCharacteristics; // тута в 0 сбросить
  26.   DWORD                SizeOfStackReserve;
  27.   DWORD                SizeOfStackCommit;
  28.   DWORD                SizeOfHeapReserve;
  29.   DWORD                SizeOfHeapCommit;
  30.   DWORD                LoaderFlags;
  31.   DWORD                NumberOfRvaAndSizes;
  32.   IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
  33. } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;


или ковровым методом:
Code:
  1. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management]
  2. "MoveImages"=dword:00000000


| Сообщение посчитали полезным: IranR


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 28 июня 2015 13:40
· Личное сообщение · #4

DLL_CHARACTERISTICS_
DYNAMIC_BASE
0x0040 DLL can be relocated at load time

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: elch

Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 21 июля 2015 07:06
· Личное сообщение · #5

Спасибо, но всплыла новая проблема.
На winVista стек теперь грузится по разным адресам. Правка реестра не помогает. Как отключить?



Ранг: 431.7 (мудрец), 390thx
Активность: 0.730.32
Статус: Участник

 Создано: 21 июля 2015 08:25 · Поправил: dosprog
· Личное сообщение · #6

anna пишет:
Спасибо, но всплыла новая проблема.
На winVista стек теперь грузится по разным адресам.

А вот это вообще не проблема.
Никаких решений, основанных на предположении о поcтоянстве адресов стека,
делать всё равно нельзя по определению самого стека.
Если где-то такие адреса выходят постоянными, то это не должно смущать.



Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

 Создано: 05 августа 2015 18:59 · Поправил: anna
· Личное сообщение · #7

или ковровым методом:
Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management]
"MoveImages"=dword:00000000

====
После этого начал выпендриваться Internet Explorer.
Пришлось удалить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe , как советовали здесь :
https://social.technet.microsoft.com:443/Forums/ie/en-US/8ee171ae-e14f-4253-920b-12e63e4d51a3/attempt-to-access-invalid-address-error-after-june-2014-updates-all-ie-versions?forum=ieitprocurrentver




Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

 Создано: 05 августа 2015 20:16
· Личное сообщение · #8

anna пишет:
Прога грузится на каждый раз по разным адресам
anna пишет:
На winVista стек теперь грузится по разным адресам

Много слов в ответ сказано, но суть неясна.
Образ по разным адресам обходится либо дельта-смещением, либо использованием рва.
Стек по разным адресам - да какая разница вообще? В чём суть задачи? Чувство такое, что вы велосипед с квадратными колёсами изобретаете.

| Сообщение посчитали полезным: Jaa
 eXeL@B —› Вопросы новичков —› ImageBase меняется на Win7 , на WinXP -- нет. В чем причина?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати