使用到的工具是CFF Explorer
由Daniel Pistelli创建的一套免费工具,包括一个名为CFF Explorer的PE编辑器和一个进程查看器。PE编辑器完全支持PE32/64。特殊字段的描述和修改(。NET支持),实用程序,重建器,十六进制编辑器,导入加器,签名扫描器,签名管理器,扩展支持,脚本,反汇编程序,依赖行走器等。第一个支持。net内部结构的PE编辑器。资源编辑器(支持Windows Vista图标)能够处理. net清单资源。该套件可用于x86和x64。
什么是基址随机化,就是每次用OD和IDA打开的地址都不一样
下面是使用CFF Explorer去除基址随机化的过程:
将要处理的文件拖入CFF Explorer中
右侧选择Option Headers
点击DllCharacteristics最右边的Click here
将Dll can move的对勾去掉,点击OK
最后重新保存文件
