關閉 Windwos 7 x64 ASLR

以前在Windows 7 x64 平台上，逆向x64執行檔，每當紀錄相關資訊的位址，每次都會因為ASLR (Address Space Layout Randomization)的關係，重新執行後，執行位址都會有所變動，這樣需要重新搜尋位址就顯得相當麻煩，由於在Windows 7 x64 平台上，預設ASLR是開啟的，因此需要手動的方式去關閉它，這樣在反編譯程式就相對容易多了。

點選左下角的開始功能，並在搜尋欄位寫上regedit

進入到regedit的路徑為[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]



在Memory Management上面選擇右鍵，新增DWORD (32-位元)值



將欄位名稱修改成MoveImages，並確認數值資料為0



以上完成後，重開機或登出再登入，此時Windows 7 x64就不會有ASLR，可以盡情享樂反編譯的愉悅。