逆向大法好-----实战中的IDA和OD一把梭

本文来源:逆向大法好-----实战中的IDA和OD一把梭

0X01

一直对D盾检测账号克隆的功能感到好奇，终于跟着老师傅的教程手把手学会了怎么用IDA，OD配合去逆向分析。

D盾有一项功能是账号克隆：

​

通过StudyPe查看，使用了NetUserEnum相关的函数

​

通过查看msdn的例子：

https://docs.microsoft.com/zh-cn/windows/desktop/api/lmaccess/nf-lmaccess-netuserenum

大致可以知道这些函数是怎么使用。

0x02

OD调试

按ctrl+g输入NetUserEnum

​

按F2下断点

​

按F9运行,点击D盾克隆账号检测

​

Od命中断点，记录下返回地址

​

0x03

IDA配合

Ok，上ida,按g键，输入地址：0051158B

​

往上翻，查看函数头（地址为5114A4）：

​

分析sub_5114A4函数。

​

//32 此结构在系统有异常的情况下NetUserEnum 将失败返回2221状态值

typedefstruct _USER_INFO_3 {

LPWSTR usri3_name; 0

LPWSTR usri3_password; 4

DWORD usri3_password_age; 8

DWORD usri3_priv; C

LPWSTR usri3_home_dir; 10

LPWSTR usri3_comment; 14

DWORD usri3_flags; 18

LPWSTR usri3_script_path; 1C

DWORD usri3_auth_flags; 20

LPWSTR usri3_full_name; 24

LPWSTR usri3_usr_comment; 28

LPWSTR usri3_parms; 2C

LPWSTR usri3_workstations; 30

DWORD usri3_last_logon; 34

DWORD usri3_last_logoff; 38

DWORD usri3_acct_expires; 3C

DWORD usri3_max_storage; 40

DWORD usri3_units_per_week; 44

PBYTE usri3_logon_hours; 48

DWORD usri3_bad_pw_count; 4C

DWORD usri3_num_logons; 50

LPWSTR usri3_logon_server; 54

DWORD usri3_country_code; 58

DWORD usri3_code_page; 5C

DWORD usri3_user_id; 60

DWORD usri3_primary_group_id; 64

LPWSTR usri3_profile; 68

LPWSTR usri3_home_dir_drive; 6C

DWORD usri3_password_expired; 70

}USER_INFO_3, *PUSER_INFO_3, *LPUSER_INFO_3;

​

权限问题

​

​

​

读取F值。

​

​

F值二进制流30h偏移是 关联的 user_id

​

​

Bin搜索了一下 f值的含义：

http://www.beginningtoseethelight.org/ntsecurity/index.htm

​

关键字符串：

​

​

0x04

这样一来，检测逻辑就清楚了：

​

0x05

逆向大法好，通过OD和IDA的配合调试分析，学习了D盾判断账号克隆功能实现的逻辑，当然，最关键的是在掌握了逆向的思维和方法。

相关操作推荐

逆向破解—CrackMe系 ：在破解过程中学习逆向知识。点击

http://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182016031814360300001

开始操作学习！

​

声明：笔者初衷用于分享与普及网络知识，若读者因此作出任何危害网络安全行为后果自负，与合天智汇及原作者无关，本文为合天原创，如需转载，请注明出处！

标签： 合天智汇