0
点赞
收藏
分享

微信扫一扫

逆向大法好-----实战中的IDA和OD一把梭


0X01

一直对D盾检测账号克隆的功能感到好奇,终于跟着老师傅的教程手把手学会了怎么用IDA,OD配合去逆向分析。

D盾有一项功能是账号克隆:

逆向大法好-----实战中的IDA和OD一把梭_搜索

通过StudyPe查看,使用了NetUserEnum相关的函数

逆向大法好-----实战中的IDA和OD一把梭_microsoft_02

通过查看msdn的例子:

https://docs.microsoft.com/zh-cn/windows/desktop/api/lmaccess/nf-lmaccess-netuserenum

大致可以知道这些函数是怎么使用。

0x02

OD调试

按ctrl+g输入NetUserEnum

逆向大法好-----实战中的IDA和OD一把梭_搜索_03

按F2下断点

逆向大法好-----实战中的IDA和OD一把梭_搜索_04

按F9运行,点击D盾克隆账号检测

逆向大法好-----实战中的IDA和OD一把梭_搜索_05

Od命中断点,记录下返回地址

逆向大法好-----实战中的IDA和OD一把梭_microsoft_06

0x03

IDA配合

Ok,上ida,按g键,输入地址:0051158B

逆向大法好-----实战中的IDA和OD一把梭_字符串_07

往上翻,查看函数头(地址为5114A4):

逆向大法好-----实战中的IDA和OD一把梭_搜索_08

分析sub_5114A4函数。

逆向大法好-----实战中的IDA和OD一把梭_microsoft_09

//32 此结构在系统有异常的情况下NetUserEnum 将失败返回2221状态值

typedefstruct _USER_INFO_3 {

LPWSTR usri3_name; 0

LPWSTR usri3_password; 4

DWORD  usri3_password_age; 8

DWORD  usri3_priv; C

LPWSTR usri3_home_dir; 10

LPWSTR usri3_comment; 14

DWORD  usri3_flags; 18

LPWSTR usri3_script_path; 1C

DWORD  usri3_auth_flags; 20

LPWSTR usri3_full_name; 24

LPWSTR usri3_usr_comment; 28

LPWSTR usri3_parms; 2C

LPWSTR usri3_workstations; 30

DWORD  usri3_last_logon; 34

DWORD  usri3_last_logoff; 38

DWORD  usri3_acct_expires; 3C

DWORD  usri3_max_storage; 40

DWORD  usri3_units_per_week; 44

PBYTE  usri3_logon_hours; 48

DWORD  usri3_bad_pw_count;        4C

DWORD  usri3_num_logons;                  50

LPWSTR usri3_logon_server;                   54

DWORD  usri3_country_code;                 58

DWORD  usri3_code_page;                   5C

DWORD  usri3_user_id;                      60

DWORD  usri3_primary_group_id;             64

LPWSTR usri3_profile;                        68

LPWSTR usri3_home_dir_drive;                 6C

DWORD  usri3_password_expired;              70

}USER_INFO_3, *PUSER_INFO_3, *LPUSER_INFO_3;

逆向大法好-----实战中的IDA和OD一把梭_microsoft_10

权限问题

逆向大法好-----实战中的IDA和OD一把梭_microsoft_11

逆向大法好-----实战中的IDA和OD一把梭_字符串_12

逆向大法好-----实战中的IDA和OD一把梭_字符串_13

读取F值。

逆向大法好-----实战中的IDA和OD一把梭_搜索_14

逆向大法好-----实战中的IDA和OD一把梭_microsoft_15

F值二进制流30h偏移是 关联的 user_id

逆向大法好-----实战中的IDA和OD一把梭_字符串_16

逆向大法好-----实战中的IDA和OD一把梭_字符串_17

Bin搜索了一下 f值的含义:

http://www.beginningtoseethelight.org/ntsecurity/index.htm

逆向大法好-----实战中的IDA和OD一把梭_microsoft_18

关键字符串:

逆向大法好-----实战中的IDA和OD一把梭_字符串_19

逆向大法好-----实战中的IDA和OD一把梭_字符串_20

0x04

这样一来,检测逻辑就清楚了:

逆向大法好-----实战中的IDA和OD一把梭_字符串_21

0x05

逆向大法好,通过OD和IDA的配合调试分析,学习了D盾判断账号克隆功能实现的逻辑,当然,最关键的是在掌握了逆向的思维和方法。


逆向大法好-----实战中的IDA和OD一把梭_microsoft_22

逆向大法好-----实战中的IDA和OD一把梭_搜索_23


举报

相关推荐

0 条评论