Eu assisti um ASLReddll endereço baseado em imagens para o processo de 32 bits.
Não é uma randomização completa. Apenas randomizou 1/2 probabilidade.

Por exemplo, depois de carregar uma DLL, a imagem é carregada em0x12345678.
E eu carrego a imagem novamente, a imagem é carregada em0x23456789(O endereço base é alterado!)
Mas eu carrego a imagem novamente
0x12345678
0x23456789
0x12345678
0x23456789
...

Por que eles implementaram assim?
É para a frequência de um relatório de falha (para obter os mesmos endereços de falha de dlls reimplantadas)