1
A
回答
1
CFF正顯示出你的靜態分析,這意味着它只是從磁盤讀取該文件在運行時沒有調試它,顯示你的「首選基址」從PE頭,這就是二進制想成爲在運行時加載。
當執行動態分析如與OllyDbg的它顯示在運行時在PE頭的值,基址將保持當前基址,而不是優選的一個從磁盤。但是當你讀取optional PE header的DllCharacteristics時,你會發現它被設置爲0x8140。
0x0040 = IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE含義地址空間佈局隨機化已啓用,導致Windows加載程序將模塊加載到隨機地址,以便使攻擊變得更加困難,因爲硬編碼的jmp和地址將不準確。
開發人員現在需要在運行時計算一切,除非您使用Windows 8或10,因爲bug has been causing ASLR無法正常工作......
相關問題
- 1. 基地址,配置文件
- 2. ELF的基址地址
- 3. exe的基地址?
- 4. 組的電子郵件地址,該地址在列表
- 5. WCF基地址
- 6. WCF基地址
- 7. AHCI基地址
- 8. WCF端點的基地址
- 9. Selenuim - echo基地址
- 10. 基於IP地址
- 11. 如何獲得給定基址地址的URL地址的所有擴展名?
- 12. Google地址的網址地址
- 13. 如何從FTP地址獲取基址?
- 14. 更改NSURL基地址到另一個基地址
- 15. elf文件中段的虛擬地址和物理地址
- 16. 基於IP地址的Google存儲訪問地址
- 17. 在地址相對於基地址的gdb打印符號
- 18. 程序中變量的基地址/靜態地址是什麼?
- 19. 調試器中基地址與實際地址的區別
- 20. 文件夾的電子郵件地址
- 21. 地址簿寫入文件
- 22. 基於電子郵件地址
- 23. WATSON Q和A基地址
- 24. 更改tomcat基地址
- 25. 設置全球基地址
- 26. 2道場基地網址
- 27. 運行時WCF基地址
- 28. htaccess重寫基地址
- 29. 基地網址代碼點
- 30. Win32 Stack部分基地址