ASLR (Address space layout randomization)とは、実行プログラムがメモリ領域に格納するデータのアドレスをランダム化する技術のこと。
プログラムを攻撃から守るためのセキュリティ機能ではあるものの、プログラムをデバッガ等で解析する際は、アドレスが固定されていたほうが解析しやすい。
解析対象がWinodwsファイルの場合、CFF Explorerを利用してASLRを無効化できる。
ファイルをCFF Explorerで開き、Optional HeaderセクションからDllCharactersiticsのClick hereをクリックする。
"DLL can move"の項にチェックが入っている場合はASLRが有効化されている。無効にしたい場合はチェックを外す。
参考
https://www.sans.org/blog/tools-for-analyzing-static-properties-of-suspicious-files-on-windows/
https://www.sans.org/blog/dealing-with-aslr-when-analyzing-malware-on-windows-8-1/
