0X01一直对D盾检测账号克隆的功能感到好奇,终于跟着老师傅的教程手把手学会了怎么用IDA,OD配合去逆向分析。D盾有一项功能是账号克隆:通过StudyPe查看,使用了NetUserEnum相关的函数通过查看msdn的例子:https://docs.microsoft.com/zh-cn/windows/desktop/api/lmaccess/nf-lmaccess-netuserenum大致可以知道这些函数是怎么使用。0x02OD调试按ctrl+g输入NetUserEnum按F2下断点按F9运行,点击D盾克隆账号检测Od命中断点,记录下返回地址0x03IDA配合Ok,上ida,按g键,输入地址:0051158B往上翻,查看函数头(地址为5114A4):分析sub_5114A4函数。//32 此结构在系统有异常的情况下NetUserEnum 将失败返回2221状态值typedefstruct _USER_INFO_3 {LPWSTR usri3_name; 0LPWSTR usri3_password; 4DWORD usri3_password_age; 8DWORD usri3_priv;
………………………………