逆向大法好-----实战中的IDA和OD一把梭

0X01一直对D盾检测账号克隆的功能感到好奇，终于跟着老师傅的教程手把手学会了怎么用IDA，OD配合去逆向分析。D盾有一项功能是账号克隆：通过StudyPe查看，使用了NetUserEnum相关的函数通过查看msdn的例子：https://docs.microsoft.com/zh-cn/windows/desktop/api/lmaccess/nf-lmaccess-netuserenum大致可以知道这些函数是怎么使用。0x02OD调试按ctrl+g输入NetUserEnum按F2下断点按F9运行,点击D盾克隆账号检测Od命中断点，记录下返回地址0x03IDA配合Ok，上ida,按g键，输入地址：0051158B往上翻，查看函数头（地址为5114A4）：分析sub_5114A4函数。//32 此结构在系统有异常的情况下NetUserEnum 将失败返回2221状态值typedefstruct _USER_INFO_3 {LPWSTR usri3_name; 0LPWSTR usri3_password; 4DWORD  usri3_password_age; 8DWORD  usri3_priv; ………………………………