如果 Immunity Debugger(以及因此 mona)对我不起作用,是否有一种快速的方法可以让我单独使用 OllyDbg 检查 DEP、SafeSEH 和 ASLR 的加载图像?人工检查也是可以的。
我认为可以通过重新启动应用程序几次来手动验证 ASLR,然后查看基址是否发生变化。我对么?SafeSEH 和 DEP 怎么样?
ollydbg ASLR 和 DEP 绕过没有 mona
逆向工程
ollydbg
免疫调试器
2021-06-10 18:05:40
2个回答
在确定可以使用 dumpbin.exe /headers 检查 PE 标头中的 ASLR(动态基础)和 DEP(NX 兼容)标志后,我发现 Ollydbg 中提供了相同的 PE 标头映射。(我正在使用 Ollydbg 2)。
只需在 Ollydbg 中打开 Memory Map 窗口,找到您想要的图像(在 Owner 列下),查找带有“PE header”的行(在 Contains 列下)并双击基地址(在 Address 列下)。
这将调出 PE 标头映射。查找显示“DLLCharacteristics”的角色(IMAGE_NT_OPTIONAL_HDR32_MAGIC 行之后的几行)。
您可以使用[OllySEH plugin][1]Zer0Flag,它OllySEH是 OllyDbg 2.01 的一个小插件,它应该可以帮助漏洞利用开发人员找到可以用来绕过不同反 bof 技术的模块。
[+] DEP
显示状态
[+] ALSR 显示状态[+] SEH 显示状态
