如何在不重新启动的情况下确定 Windows 是否应用 ASLR？

Question

据我了解， ASLR ^{地址空间布局随机化< /sup> 只会在每次系统启动（每次重新引导）时进行随机重定位。}

地址空间布局随机化 (ASLR)

当系统启动时，ASLR 将可执行映像移动到随机位置 靴子，使其更难被利用 代码可预测地运行。 （...）

如果是这种情况，我该如何“测试”，或者更确切地说，检查我的 C++ 模块或系统模块是否发生 ASLR（例如，kernel32 .dll），而不需要反复重新启动 Windows 并希望随机性发挥作用？

Answer 1

这就是我要尝试的：

记住模块的 HMODULE 句柄实际上是模块图像的基地址。您可以使用 GetModuleHandle 来获取这个值。如果将其与图像的可选标头值中的基地址进行比较，我们预计当 ASLR 打开时这两个值会不同。

请记住，只有在某些系统 DLL 上使用 GetModuleHandle 时，这才是 ASLR 的明确指示；它适用于 kernel32，因为它不是映像重定位的典型候选者：

1. Microsoft 系统 DLL 都给出了唯一的推荐基地址；它
2. 是最先映射到进程地址空间的 DLL 之一。

由于 kernel32 通常不会被重定位，因此如果 ASLR 被关闭，则可以合理地期望它被加载到其推荐的基地址处。

如何从图像标题中获取推荐的基地址？最简单的方法是使用 Visual C++ 中包含的 DUMPBIN 实用程序。如果您希望以编程方式执行此操作，则需要对可执行映像的标头进行一些探索，直到找到 IMAGE_OPTIONAL_HEADER 结构的 ImageBase 字段。有关 PE 标头的更多信息，我建议您“深入研究Win32 可移植可执行文件格式”，作者：Matt Pietrek。