window aslr 제거하는 방법

안녕하세요 

오늘은 aslr 제거하는 방법에 대해서 알아보도록 하겠습니다.

aslr 이란 ? 

address space layout randomization 

즉, 주소의 공간을 무작위로 배치한다 라는 뜻입니다.

리버싱 방지 기술 중에 하나입니다. 

그럼 오늘은 aslr을 제거 하는 방법에 대해서 소개하도록 하겠습니다.

준비물 : aslr 이 적용된 프로그램 , hexediter , peview, ollydbg (확인용)

 (저는 window7 지뢰찾기를 대상으로 했습니다.)

 peview 프로그램을 사용하여 aslr 이 존재하는지에 대해서 판단합니다. 

1. peview 에대 대상 파일을 올립니다.(저는 minesweeper.exe)

여기서 IMAGE_INT_HEADER에 들어갑니다.

위와 같이 나와 있는 것을 확인 할 수있습니다.(aslr 존재)

(hexediter=hxd)

2. hxd.exe 프로그램을 사용하여 40 81 이 나와 있는 곳으로 갑니다.

(peview 에서 8140에서 왼쪽에 보이는 곳이 주소입니다.(00000146))

동일한 주소를 가보면(hxd)

 

이렇게 40 81이 나와있는 것을 확인 하실 수있습니다.

위와 같이 40을 00 으로 바꾸어 주시고 저장을 하시면 됩니다.

(저장 왼쪽 위 에 파일- 저장 or  ctrl+s)

다시 확인하는 방법은 ollydbg로 대상 프로그램을 반복 하여 올려 놓을 때 시작 주소가 동일하면 aslr 제거에 성공하신 겁니다.