반응형
aslr 이란 ?
address space layout randomization
즉, 주소의 공간을 무작위로 배치한다 라는 뜻입니다.
리버싱 방지 기술 중에 하나입니다.
그럼 오늘은 aslr을 제거 하는 방법에 대해서 소개하도록 하겠습니다
aslr은 또한 reloc section이있을시 aslr이라는 힌트도잇다
방법1
CTF exploer님에게 맡기세요 dll can move 체크를뺴면된다
방법2
준비물 : aslr 이 적용된 프로그램 , hexediter , peview, x64dbg
peview 프로그램을 사용하여 aslr 이 존재하는지에 대해서 판단합니다.
1. peview 에대 대상 파일을 올립니다.(저는 minesweeper.exe)
여기서 IMAGE_INT_HEADER에 들어갑니다.
위와 같이 나와 있는 것을 확인 할 수있습니다.(aslr 존재)
(hexediter=hxd)
2. hxd.exe 프로그램을 사용하여 40 81 이 나와 있는 곳으로 갑니다.
(peview 에서 8140에서 왼쪽에 보이는 곳이 주소입니다.(00000146))
동일한 주소를 가보면(hxd)
이렇게 40 81이 나와있는 것을 확인 하실 수있습니다.
위와 같이 40을 00 으로 바꾸어 주시고 저장을 하시면 됩니다.
(저장 왼쪽 위 에 파일- 저장 or ctrl+s)
반응형
'PC리버싱 > 안티디버깅' 카테고리의 다른 글
| GS (Stack Canary/Cookie)우회 (0) | 2020.05.28 |
|---|---|
| TLS callback(TLS(Thread Local Storage) 와 isdebuggerpresent) (0) | 2020.05.24 |
| Visual Studio 2019로보는 ASLR (0) | 2020.05.20 |
| 1. CheckRemoteDebuggerPresent() Windows API (0) | 2020.05.20 |
| Isdebuggerpresent원리에대해서 (0) | 2020.05.16 |