分析过程中发现,代码中的每一步都经过这儿,每一个字符的打印都是在这儿,所以payload参数内容一定就在生成之前上一步。这里有一个小细节,只有_ace_66的值为图上这种值时才能hook上,具体原理不知道,有知道的大佬可以告诉我。hook到这儿,突然发现打印出来加密b64之前的参数了,我们找的也是这个参数,现在这个栈也没必要分析了。hook一下_ace_936更好,但是这个参数不是全局变量,没法hook,只能hook这个列表中的参数。进入加密代码,没有找到任何有价值的东西,只找到后加密参数返回的地方。
