在6月份的新版本中，作者将原型为

RSA_public_decrypt(v9, v13, (unsigned __int8 *)v11, v14, 1)

的方法进行了混淆。

根据老代码回溯向上调用关系发现RSA_public_decrypt(v9, v13, (unsigned __int8 *)v11, v14, 1) 被

Down p intrsa_verify+74 BL RSApublic_decrypt

调用过。 再根据_int_rsa_verify内的

rsa_sign.c 字符串引用。在新版本中搜索寻找后根据位置找到 RSA_public_decrypt 再向上查找引用

2020.10.19

本次更新发现又做了改变 查找rsa_sign.c字符串出现多个。

可根据 新字符串 signature 定位

向上查找引用后，根据旧版本位置确定RSA_public_decrypt位置。再向上引用找到函数

找到RSA加密位置，以下是老版本对照