Por lo que sé, es posible sobrescribir la parte no modificada del EIP para evitar la protección ASLR. Desafortunadamente, no entiendo cómo esto me puede ayudar para saltar a la ubicación de mi exploit. Necesitaría la dirección de una instrucción [JMP ESP] para hacerlo, pero como la dirección siempre variará, ¿cuál es la idea detrás de sobrescribir parcialmente el EIP?
Además, esta respuesta indica que se requiere un módulo que no sea ASLR. ¿Cómo se pueden arreglar algunas partes de la dirección y algunos cambios en un módulo no ASLR?