LLeaves

摘要： 无壳，使用IDA直接分析主函数 逻辑很简单，问题的关键是Hook，题目也是EasyHook， 会发现在生成文件后，文件内容是被加密后的，那就怀疑加密函数参与Hook 动态调试一步步来看，先进入401220函数 发现这里有获取writefile函数地址的操作，初步怀疑可能进行hook操作 然后又进行一 阅读全文