Причина в совместимости, много windows приложений ожидают что адреса модулей будут одинаковыми в разных процессах. Неважно стоит ли в уязвимой...
Библиотека без флажка ASLR будет в любом процессе всегда загружаться по статическому адресу Image Base (если он уже не занят конечно).
ASLR в данном случае не работает потому что уязвимость используется совместно со старыми версиями офиса, в которых ещё остались не ASLR либы. DEP...
всё это туфта морфеус, в любом случае весёлая красная пилюлька рутковской мертворожденная, iirc в ма... варе этот детект на момент рождения даже...
в ханипотах конфа меняется на уникальную vmware io backdoor отключается
тотальный вариант VMware 6+ Record & Replay, простые куски можно в трэйсере ольки оборачивать
Имена участников (разделяйте запятой).