逆向大法好-----实战中的IDA和OD一把梭

0X01

一直对D盾检测账号克隆的功能感到好奇，终于跟着老师傅的教程手把手学会了怎么用IDA，OD配合去逆向分析。

D盾有一项功能是账号克隆：

通过StudyPe查看，使用了NetUserEnum相关的函数

通过查看msdn的例子：

https://docs.microsoft.com/zh-cn/windows/desktop/api/lmaccess/nf-lmaccess-netuserenum

大致可以知道这些函数是怎么使用。

0x02

OD调试

按ctrl+g输入NetUserEnum

按F2下断点

按F9运行,点击D盾克隆账号检测

Od命中断点，记录下返回地址

0x03

IDA配合

Ok，上ida,按g键，输入地址：0051158B

往上翻，查看函数头（地址为5114A4）：

分析sub_5114A4函数。

//32 此结构在系统有异常的情况下NetUserEnum 将失败返回2221状态值

typedefstruct _USER_INFO_3 {

LPWSTR usri3_name; 0

LPWSTR usri3_password; 4

DWORD  usri3_password_age; 8

DWORD  usri3_priv; C

LPWSTR usri3_home_dir; 10

LPWSTR usri3_comment; 14

DWORD  usri3_flags; 18

LPWSTR usri3_script_path; 1C

DWORD  usri3_auth_flags; 20

LPWSTR usri3_full_name; 24

LPWSTR usri3_usr_comment; 28

LPWSTR usri3_parms; 2C

LPWSTR usri3_workstations; 30

DWORD  usri3_last_logon; 34

DWORD  usri3_last_logoff; 38

DWORD  usri3_acct_expires; 3C

DWORD  usri3_max_storage; 40

DWORD  usri3_units_per_week; 44

PBYTE  usri3_logon_hours; 48

DWORD  usri3_bad_pw_count;        4C

DWORD  usri3_num_logons;                  50

LPWSTR usri3_logon_server;                   54

DWORD  usri3_country_code;                 58

DWORD  usri3_code_page;                   5C

DWORD  usri3_user_id;                      60

DWORD  usri3_primary_group_id;             64

LPWSTR usri3_profile;                        68

LPWSTR usri3_home_dir_drive;                 6C

DWORD  usri3_password_expired;              70

}USER_INFO_3, *PUSER_INFO_3, *LPUSER_INFO_3;

权限问题

读取F值。

F值二进制流30h偏移是 关联的 user_id

Bin搜索了一下 f值的含义：

http://www.beginningtoseethelight.org/ntsecurity/index.htm

关键字符串：

0x04

这样一来，检测逻辑就清楚了：

0x05

逆向大法好，通过OD和IDA的配合调试分析，学习了D盾判断账号克隆功能实现的逻辑，当然，最关键的是在掌握了逆向的思维和方法。

相关操作推荐

 逆向**—CrackMe系 ：在**过程中学习逆向知识。点击文末“阅读原文”，开始操作学习！

别忘了投稿哦

大家有好的技术原创文章

欢迎投稿至邮箱：[email protected]

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哦

有才能的你快来投稿吧！

了解投稿详情点击重金悬赏 | 合天原创投稿等你来！

点击“阅读全文”，开始操作