开篇近期比较闲，于是对该app进行了逆向研究前两年也对这个app进行了研究，那时候还没有什么加密参数可以很正常的进行采集抓包现在发现连包都抓不到了于是查看了相关资料发现该app走的不是正常的http/s协议于是我hook了传输协议就可以正常抓包了逆向分析抓包后就发现多了好几个加密参数我抱着试一试的态度可能服务器端并没有校验这些参数的正确性但是模拟请求后发现不行变换参数之后就不能正常请求了有几个参数是一直会变动的因此只能进行对app的逆向然后我用jadx反编译了该app该app反编译了不少时间然后我全局搜索这几个关键加密参数发现一个都找不到于是我换了其他的反编译工具继续搜索还是找不到这些参数那说

1为什么是GuLoaderGuLoader，或者也被称为CloudEye，是一个小型VB5/6下载器恶意软件。通常，它会从GoogleDrive下载远程访问工具（RAT）和窃取程序，例如AgentTesla，Arkei/Vidar，Formbook，Lokibot，Netwire和Remcos。GuLoader因其反虚拟机（anti-VM）策略而臭名远扬，对一般的沙箱检测基本百分百绕过。在已知的情报和分析实战中，即使是最著名的在线沙箱之一（run）也无法成功运行起该恶意软件。2逐层刨开GuLoader采用的多种“反”策略2.11.NSISGuLoader利用Nullsoft可脚本安装系统（NS