好友 阅读权限 25
听众 最后登录 1970-1-1
公孙秒秒
发表于 2019-5-6 03:22
前言 : ——————————————————————————————— 示例程序:xxx软件3.72(我是用户实战六的程序) 传送门 : ——————————————————————————————— 本帖演示视频地址: https://www.bilibili.com/video/av51593945/ 个人汇总贴: https://www.52pojie.cn/thread-932679-1-1.html *视频只是做了操作演示,具体分析参考本帖,建议先看完帖子如果有需要再以视频辅助 第一部分:寻找OEP ——————————————————————————————— 方法二:bp GetProcessHeap+C 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 方法三:.附加法 同时 StrongOD的设置需要注意 bp GetProcessHeap+C 然后启动OD 文件-附加 -选中刚刚的程序 返回到程序领口 然后单步往下走 je 往上的 修改下 让他跳过 马上就到了oep了 到了delphi的 最后一个call的地址 [Asm] 纯文本查看 复制代码
//变量声明区域
var ZwFreeVirtualMemory//用这个变量直观的保存ZwFreeVirtualMemory的地址
//这里发现如果直接写bp ZwFreeVirtualMemory会出错,无法定位到API当中,要手动录入地址才行
var edil //定义一个变量保存下EDI的值,就可以在运行过后与当时的EDI进行比较了
var code//用来存放代码段开始的地址
var size//用来存放代码段尺寸
var code2//用来存放代码结束时候的地址
mov ZwFreeVirtualMemory,7C92D370 //在这里把ZwFreeVirtualMemory的地址直接赋值,不同机器确认这个地址是否相同就好了
mov code,401000 //代码段的起始地址,这里一般不会变
mov size,f7000//代码段大小记得改
//计算代码结束地址并给到code2
mov code2,code //先把代码段起始地址给code2
add code2,size//然后加上代码段大小也就得到了结束地址啦
//清除所有断点防止干扰
bc//清除所有普通断点
bphwcall//清除所有硬件断点
bpmc //清除所有内存断点
bp ZwFreeVirtualMemory //下断点
loop1: //这个段落主要负责判断edi改变了没有,如果发现edi没改变就跳到去判定edi里面的值是不是在代码段,否则就直接循环执行
run //这里相当于按了一下F9,如果要按SHIFT+F9,指令时esto
cmp edil,edi //比较edi是否改变
je xiangdeng//如果相等就跳去判断是否在代码段当中,相等说明EDI没有发生改变
mov edil,edi//如果没跳转就是不相等,那么直接把现在edi赋值给edil,用于下一次比较
jmp loop1//然后跳回去重新开始循环
xiangdeng: //这个片段用来判断代码段用来判断EDI的值是否在代码段当中
cmp edi,code //先将edi的值和代码段起始地址比较
jb loop1 //小于起始段就说明不在了,调回loop1里面继续F9
cmp edi,code2//上面如果没跳走就和代码段结束地址比较
ja loop1//如果大于代码段的结束地址那么肯定就不在了,跳走继续F9
//这里翻译成代码其实就是:
//if edi > 代码段结束地址 or edi < 代码段其实地址 : jmp loop1
//如果都没有跳走,那么生下来的edi必然是在代码段当中了
bc ZwFreeVirtualMemory //取消掉 ZwFreeVirtualMemory
bprm code,size //在代码段下内存访问断点
run //F9一下
//这里应该就到达OEP了
bpmc //然后取消内存断点
ret//结束脚本的运行,一定要写这个,不写的话,你就要记得手动结束脚本运行,不然你重新加载程序过后,脚本直接就开始突突突了 https://www.52pojie.cn/thread-37433-1-1.html 第二部分:寻找IAT ——————————————————————————————— 脱壳 最难的部分其实是修复IAT,这里不会去谈什么esi表,因为我发现其实发现了这个表看了挺多帖子分析这个表,最后落实到脱壳的时候,跟这个表的关系讲真不大,中间我也去研究了这个表,但是最后落实到写脚本的时候,忘了他吧,完全用不上的,当然也可能是我没研究透彻。第一个部分: 把真实的API地址写的壳里重重保护起来,让你在调用API的时候先经过他的壳。第二个部分: 把IAT里API的地址全部换成了壳生成的伪API地址,让你在调用API的时候其实是访问了壳内置的函数。[Asm] 纯文本查看 复制代码
00459000 >77DA7AAB advapi32.RegQueryValueExA
00459004 >77DA7842 advapi32.RegOpenKeyExA
00459008 >77DB4280 advapi32.RegDeleteKeyA
0045900C >77DAE9E4 advapi32.RegCreateKeyExA
00459010 >77DA6C17 advapi32.RegCloseKey
00459014 >77DAEAD7 advapi32.RegSetValueExA
00459018 >77DAECD5 advapi32.RegDeleteValueA [Asm] 纯文本查看 复制代码
0048D000 03020000
0048D004 03030000
0048D008 03031015
0048D00C 03040000
0048D010 03050000
0048D014 00000000 第三个部分: 把程序主体当中call和jmp到API的地方,分别替换成了E8 伪iat地址 和 E9伪IAT地址,如果我们随便找一个没有壳的程序会发现,本来这些调用API的call和jmp分别是FF15类型的call和FF25类型的JMP这样的长跳,而经过TMD的加工过后,会变成E8类型的CALL和E9类型的JMP,如果大家去百度了解详细不难发现,FF15和FF25类型的跳转是一个长跳转,后面直接跟着的是你要跳转到的地址,而E8和E9后面跟的是偏移地址。这里搞不懂也没关系,可以简单理解为,原来的程序中是:FF 15 真实IAT地址 和FF 25 真实IAT地址 的地方,被分别替换成了 :E8 指向伪IAT的偏移量 和 E9 指向伪iat的偏移量。[Asm] 纯文本查看 复制代码
00407B74 FF15 00904500 call dword ptr ds:[<&ADVAPI32.RegQueryVa>; advapi32.RegQueryValueExA [Asm] 纯文本查看 复制代码
0046A465 E8 BD696A02 call 02B10E27 [Asm] 纯文本查看 复制代码
007DB41B F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi] 虚拟机 的代码段当中,那么说明虚拟机的修改工作已经完成了,这个时候其实程序应该是停在了oep附近的[Asm] 纯文本查看 复制代码
loop1:
esto
cmp eip,xxxxxxx//填入找到的地址一
je loop
cmp eip,xxxxxxx//填入找到的地址二
je loop
...
cmp eip,xxxxxxx//填入找到的地址n
je loop
ret
//每找到一个地址,就在中间加一个cmp 和je语句就好了,是不是非常的简单 [Asm] 纯文本查看 复制代码
0046A46F 8915 A41F6F00 mov dword ptr ds:[0x6F1FA4],edx [Asm] 纯文本查看 复制代码
同时我们稍微向上寻找,发现OEP就在不远处:
0046A43F 55 push ebp [Asm] 纯文本查看 复制代码
007EF98E 8928 mov dword ptr ds:[eax],ebp ; winmm.midiStreamOut
ebp=76B2A4EE (winmm.midiStreamOut)
ds:[0048D684]=00000000
//这里把EBP中的值写入了[eax]中,ebp有的时候是真实的api地址,有的时候是伪API地址,通过跟踪eax发现eax的地址属于iat
//这里获取到IAT地址:eax [Asm] 纯文本查看 复制代码
007EFDCC AA stos byte ptr es:[edi]
al=90
es:[edi]=[00431DDD]=90
//这里向需要修改的call或者jmp所在的地方写入90,其实也就是nop,是为了平衡FF 15变成E8或者FF 25变成E9过后减少的字节,这句后面必然和两句相连
//这里获取到调用的地址,不过我们不从这里获取,我们从他后面的写入E8的地方获取,写脚本的时候方便一点
[Asm] 纯文本查看 复制代码
007EFDEB AA stos byte ptr es:[edi]
al=E8
es:[edi]=[00431DDE]=90
//这里向[ESI]写入了E8,完成了call类型的转入,因为没有研究全部数据,这里有没有写入E9未知
//从这里获取到被修改的CALL或者JMP语句的地址:edi
//为了方便后面区分,把第二处、第三处、第四处这样的方法成为stos三连法好了,后面方便形容
[Asm] 纯文本查看 复制代码
007EFF29 AB stos dword ptr es:[edi]
eax=766F870B
es:[edi]=[00431DDF]=90909090
//这里写入了指向iat的偏移量,加上前面两句这里完成了一次调用的完整修改
//这里可以用来判定,到了这个地址在运行一次,那么也就完成了一次调用的修改,我们就可以把他刚刚修改的那个调用修复回去了 [Asm] 纯文本查看 复制代码
007EFE32 AA stos byte ptr es:[edi]
al=E8
es:[edi]=[00431DB0]=90
//这里写入了E8,并且后面会跟上007EFF29 这句写入偏移量,完成一次改写,不过没有写入90(NOP),这是与上面三句的唯一区别
//这里可以获取到被修改的调用的地址:edi
//为了区分把第五处、第四处连在一起完成修改的方法叫做stos二连法 [Asm] 纯文本查看 复制代码
00743A92 8F02 pop dword ptr ds:[edx] ; 02B00000
堆栈 [0012FF64]=02B00000 (02B00000)
ds:[0048D184]=00000000
//这里与007EFF29类似,向[EDX]写入了一个双字,不过这里有两种情况:
//一:直接对IAT进行操作,写入伪API,这种情况下我们获取到iat的地址:edx
//二:与下面的语句搭配,写入偏移量完成对调用的改写,这种情况下与第四处相似,可以用来判断改写完成,运行完他后开始修复 [Asm] 纯文本查看 复制代码
007481A8 8822 mov byte ptr ds:[edx],ah
ah=E8
ds:[0046CC9C]=90
//这里向调用的地方写入了E8,因为没有分析每一条数据,有没有写入E9不知道,这一句后面必然跟着一句00743A92 写入偏移完成对调用的改写
//这一句和第六处一起是另一种改写的方式,所以这里我们也是获取到了被改写的调用的地址:edx
//为了区分把这一句和第六处连在一起修改调用的方法称为非STOS法 [Asm] 纯文本查看 复制代码
007EFEB3 886F 04 mov byte ptr ds:[edi+0x4],ch
ch=16
ds:[00462341]=90
//这一句写入的内容并不确定,怀疑是壳一开始对程序的代码进行了修改,然后在修改IAT的过程中再修复回去
//修复的时候判断一下如果是这句就直接再运行一下就可以了,忽略就好 [Asm] 纯文本查看 复制代码
0046A46F 8915 A41F6F00 mov dword ptr ds:[0x6F1FA4],edx
//到达了程序的代码段,壳对IAT的修改也完成了,后面的也就不用记录了,停车的标志 [Asm] 纯文本查看 复制代码
0012FF64 02B00000
0012FF68 007F24E7 ASCII "h!\n"
0012FF6C 007EF8CC 返回到 PDF2Word.007EF8CC [Asm] 纯文本查看 复制代码
007EF8CC /0F88 01000000 js PDF2Word.007EF8D3 [Asm] 纯文本查看 复制代码
007EF894 80BD 59E1C411 0>cmp byte ptr ss:[ebp+0x11C4E159],0x0
007EF89B 0F84 75000000 je PDF2Word.007EF916 [Asm] 纯文本查看 复制代码
007ECD8E C785 62E1C411 0>mov dword ptr ss:[ebp+0x11C4E162],0x0
007ECD98 B9 01000000 mov ecx,0x1
007ECD9D 85C9 test ecx,ecx
007ECD9F 74 51 je short PDF2Word.007ECDF2
007ECDA1 8B8D BE2FB711 mov ecx,dword ptr ss:[ebp+0x11B72FBE]
007ECDA7 8B09 mov ecx,dword ptr ds:[ecx]
007ECDA9 3B8D 8328B711 cmp ecx,dword ptr ss:[ebp+0x11B72883] ; user32.77D10000
007ECDAF 74 10 je short PDF2Word.007ECDC1
007ECDB1 3B8D 101BB711 cmp ecx,dword ptr ss:[ebp+0x11B71B10] ; advapi32.77DA0000
007ECDB7 74 08 je short PDF2Word.007ECDC1
007ECDB9 3B8D 6500B711 cmp ecx,dword ptr ss:[ebp+0x11B70065] ; kernel32.7C800000
007ECDBF 75 31 jnz short PDF2Word.007ECDF2
007ECDC1 C685 59E1C411 0>mov byte ptr ss:[ebp+0x11C4E159],0x1
007ECDC8 8D95 66E1C411 lea edx,dword ptr ss:[ebp+0x11C4E166]
007ECDCE 8D8D 3EE2C411 lea ecx,dword ptr ss:[ebp+0x11C4E23E]
007ECDD4 39CA cmp edx,ecx
007ECDD6 73 1A jnb short PDF2Word.007ECDF2
007ECDD8 833A 00 cmp dword ptr ds:[edx],0x0
007ECDDB 74 15 je short PDF2Word.007ECDF2
007ECDDD 3902 cmp dword ptr ds:[edx],eax
007ECDDF 75 0C jnz short PDF2Word.007ECDED
007ECDE1 C785 62E1C411 0>mov dword ptr ss:[ebp+0x11C4E162],0x1
007ECDEB EB 05 jmp short PDF2Word.007ECDF2
007ECDED 83C2 04 add edx,0x4
007ECDF0 ^ EB E2 jmp short PDF2Word.007ECDD4
007ECDF2 89C0 mov eax,eax
007ECDF4 E9 11000000 jmp PDF2Word.007ECE0A
007ECDF9 9D popfd [Asm] 纯文本查看 复制代码
007F0136 8985 57E2C411 mov dword ptr ss:[ebp+0x11C4E257],eax ; kernel32.HeapSize
eax=7C809136 (kernel32.HeapSize), ASCII "NTDLL.RtlSizeHeap"
ss:[007E926B]=7C81127A (kernel32.GetVersion)
//这里我们获取到了真实的API地址:eax
//我们下硬件执行断点就可以停到这里了 自写脚本开始修复: ——————————————————————————————— [Asm] 纯文本查看 复制代码
//变量声明区
var moveax //用来存放通过mov方法写入iat的地址(第一处)
var movapi //用来存放真实api出现的地方(007F0136这个地址)
var stos390 //存放stos三连方法中写入90的地方(第二处)
var stos3e8 //存放stos三连方法中写入E8的地方(第三处)
var ab //存放独一无二的ab的地方,就是stos三连和二连都用上了的那个写入双字的地方,他的命令机器码是AB,其他的都是AA(第四处)
var stos2 //stos二连方法中写入E8的地方(第五处)
var paichu //需要忽略的语句,我们找到的不需要修补和获取数据的地方(第八处)
var recall //用来放FF15的,这样直接写recall就代替写FF15,如果要改成别的也好修改
var rejmp //用来放FF25的,这样直接写rejmp就代替写FF25,如果要改成别的也好修改
var oep //用来存放OEP的,其实用不上oep,省略了吧
var iat //用来存放对应iat的值,也就是存放了api真实地址的地址,这个可能有点绕,如果你知道什么是iat就又会觉得这里很罗嗦其实
var api //用来存放真实API地址
var popbyte //这里其实mov,因为另一句是POP开始的,所以我写成这样好分辨,是非stos方法中写入E8的地方(第七处)
var popdword //用来存放非stos方法中写入双字的地方(第六处)
var mark //存放临时数据用的变量
var count //存放临时数据的变量
var lsg //存放临时数据的变量
var code //存放代码段起始地址,用于下断
var size //存放代码段大小,用于下断
var addr //用来存放获取到的需要修复的代码地址
//赋值区域,变量需要声明才能使用,下面开始把我们找到的数据进行赋值:
mov movapi,007F0136
mov stos390,007EFDCC
mov stos3e8,007EFDEB
mov ab,007EFF29
mov stos2,007EFE32
mov moveax,007EF98E
mov popdword,00743A92
mov paichu,007EFEB3
mov popbyte,007481A8
mov code,401000
mov size,2f3000
mov recall,15ff //这里要注意,要反着写,这里OD写入的方式是默认从右向左一个字节一个字节写的,我们要写入FF15这里就要按自己写成15ff
mov rejmp,25ff //这里也是一样,原理什么的其实汇编里数据也是这样的,大端模式和小端模式的问题
//清除所有类型的所有断点,防止停在不必要的地方影响脚本运行
bc //这句清楚普通断点
bphwcall //这句清楚所有硬件断点
//这里我没有写清楚内存断点的语句,因为每次重载过后其实内存断点就没了,需要的话也可以写上
//下断点及前置运行,因为直接运行会走到 rep movs byte ptr es:[edi],byte ptr ds:[esi] 这句,这里要F7一下,F8一下,才能继续F9
bphws movapi,"x" //这句是在movapi的位置下硬件执行断点
bpwm code,size //在code处,size大小上下内存写入断点
esto //shift+f9的意思,F9是RUN
sti//F7
sto//f8
esto
//上面这段执行完其实刚好停在了movapi的位置,我们可以直接获取API地址了
//这段获取API,然后运行一下直接跳去对比中心对比到了哪了,然后在跳到对应的地方
getapi:
mov api,eax //从eax里得到真实的api地址然后存在api这个变量里面
esto//运行一下
jmp cmps //执行完毕跳到对比中心
//这里处理所有可能出现的地址,然后丢到该去的地方处理
cmps:
cmp eip,movapi //对比eip,如果是movapi就跳去获取真实api
je getapi
cmp eip,stos390 //对比如果是stos三连中写入90的地方,跳过去执行一下再回来
je justrun
cmp eip,stos3e8 //STOS3连写入E8,这里其实可以开始处理了,他后面必然跟着一个ab语句写入双字完成修改调用
je clab
cmp eip,stos2 //STOS二连写入E8,他后面必然跟着一个ab语句写入双字完成修改调用,忽略90语句其实就是为了这里好写,可以把两处并做一处
je clab
cmp eip,popbyte//非stos方法写入E8的地方,要开始获取地址进行处理了
je clpop
cmp eip,popdword //这句上面说了有两种可能,我们在clpop里已经处理了一种可能,如果直接出现很显然是另一种可能,我们单独做处理
je cldw
cmp eip,moveax //这里不用说了吧
je clmoveax
cmp eip,paichu //这也没啥说的了吧
je justrun
//如果全部都不是,其实也就说明修复完了,脚本执行完毕了,直接清除所有断点结束脚本进入常规手段脱壳
bc
bphwcall
bpmc //清楚内存断点
msg "end" //弹个窗,可以不写
ret
//这个方法用来在需要忽略的时候运行一下程序到下一个点,然后对比
justrun:
esto
jmp cmps
//这里用来处理非stos方法中写入双字的另一种可能,也就是在对iat进行写入
cldw:
mov iat,edx //用iat保存edx,这个时候edx的值就是iat的地址
esto //然后运行一下,让壳先写,不然你修改了壳执行完语句又写回去了,白写了
mov [iat],api //这里是把真实的api地址写入到iat对应的地址单元
//这两句是分别把iat的值和api的值追加到"C:\ODLOG\u.txt"这个文件中,是我用来记录数据的,可以删除
wrta "C:\ODLOG\u.txt",iat
wrta "C:\ODLOG\u.txt",api
//这个语句如果填写中的文件不存在会创建,但是如果路径当中的文件夹不存在是不会创建的,直接报错
//因为是追加,所以记录之前要记得删掉以前的,也可以在一开始用个非追加的语句把这个文件清空,防止上次的干扰
jmp cmps //跳回对比中心
//处理moveax
clmoveax://这个其实跟上面是一模一样的,不过他们不同的是一个是从eax里取值,一个是从edx取值,所以写了两段
mov iat,eax
esto
mov [iat],api
wrta "C:\ODLOG\u.txt",iat
wrta "C:\ODLOG\u.txt",api
jmp cmps
//处理popbyte的地方,这里思路上首先获取到需要修补的地址,然后我们要先判断这个地址对不对,因为我们这里其实要写入6个字节的
clpop:
mov addr,edx//这里获取到要修改的地方
mov mark,addr //这里用mark先保存下addr的值,我们要进行判定写入的适当位置,因为壳修改调用其实是把6个字节的本来数据改成了5个字节并填充了一个nop
//但是这个nop有时候是在前面的,有时候是在后面的,那么我们就要判断下我们这个开始写入的位置究竟对不对了
//判断的方法其实就是读取从addr开始,后面有几个NOP,
//有4个的话就说明这个nop在这个E8前面,所以我们就要把addr减一了
//有五个的话我们就能直接写
//有6个的话就说明这里可能有一串调用连在一起,我们就在判断前面有没有NOP,前面没有那我们直接写没问题,前面有的话那我们就停下来手动跳过去数一下
//然后手动修正ADDR的值,然后继续执行脚本进行下一步,我一开始没有这个判断,很多修复错位,导致无法运行
mov count,0 //count置零用来保存后面的nop的数量
//这里写一个循环不停的对比内存单元中指令,如果是nop就把count加一,不是nop了就跳走,然后根据count的值来判定究竟有几个nop并做对应处理
clpop1:
inc mark //自增一
cmp [mark],#90#,1 //这句是取出mark所对应地址里面的值跟##中间的内容进行对比,需要对比几个字节由后面那个数字决定,这里对比一个字节就行了
jne clpopnop //不等于话才跳的!!!!
inc count //等于就向下执行,count+1
cmp count,6 //这里数到6了就要对前面进行判定了,为什么上面说了
je clpoperro
jmp clpop1
//这是大于5个nop处理的地方
clpoperro:
mov mark,addr //再把addr给mark
dec mark//mark减一
cmp [mark],#90#,1 //就是判断addr前面的这个值是不是nop
jne clpop2 //逻辑上已经说明了
pause //是nop就暂停下来,手工改
jmp clpop2
//这段根据nop的数据决定是否修改addr,也就是我们开始写入的地址,逻辑上面已经说过了,不解释了
clpopnop:
cmp count,4
jb clpoperro//这里如果小于4那肯定出错了,直接跳向手工处理的位置
cmp count,5
je clpop2
ja clpoperro //这里其实是等于6的情况了,也可以改上面省下来这句
dec addr //addr减一
clpop2:
esto //这里要先运行一下,然后判断走到哪了,因为有可能会走到需要排除的地方,所以加一个判断,同时stos方法中的东西其实可以也集成到这里
//从上面一段开始其实三种方法是共用的了,为了看的清楚我写了两段
clpop22:
cmp eip,popdword //如果后面是写入双字的地方,其实就可以进入下一环了
je clabpanduane9
cmp eip,paichu //如果是需要忽略的语句,就运行一下
je clpoprun
//如果都不是,那就是出错了,直接弹窗口吧,看看逻辑上哪里出错了
msg "error"
pause
//这里跟justrun其实是一样的,就是结尾他们要跳的地方不一样
clpoprun:
esto
jmp clpop22
//处理stos方法的地方了
clab:
mov addr,edi //获取要修改的地方的地址
mov mark,addr //这里开始跟上面是一样的其实,可以直接合并到上面去,然后在对比那里加一个判断是不是ab就后了
mov count,0
clab1:
inc mark
cmp [mark],#90#,1
jne clabnop
inc count
cmp count,6
je claberro
jmp clab1
clabnop:
cmp count,4
jb claberro
cmp count,5
je clstos2
ja claberro
dec addr
clstos2:
esto
cmp eip,ab
je clabpanduane9
cmp eip,paichu
je clstos2
msg "error"
pause
claberro:
mov mark,addr
dec mark
cmp [mark],#90#,1
jne clstos2
pause
jmp clstos2
//这里开始下一环,上面判断过后,这里必然就是改写调用写入偏移的地方了,我们直接运行一下,让壳完成对于调用的改写,这样我们才能开始往回改
clabpanduane9:
esto
//这里要判断一下,究竟是写入rejmp还是recall了,到了这里ADDR经过上面的判定必然是正确的地址了,我们对他的位置进行判定,如果是E9,那就说明
//这里是个jmp了,如果不是我们在判断后面一位是不是E9,都不是那肯定就是E8了,也可以判断是不是E8,都不是就肯定是E9了
mov mark,addr
cmp [mark],#e9#,1
je clabjmp
inc mark
cmp [mark],#e9#,1
je clabjmp
//这里开始写入,没什么好说的了,写完了直接跳会去进行下一轮判断
clabcall:
mov [addr],recall
wrta "C:\ODLOG\u.txt",addr
wrta "C:\ODLOG\u.txt",recall
jmp clabdw
clabjmp:
mov [addr],rejmp
wrta "C:\ODLOG\u.txt",addr
wrta "C:\ODLOG\u.txt",rejmp
clabdw:
add addr,2
mov [addr],iat
wrta "C:\ODLOG\u.txt",addr
wrta "C:\ODLOG\u.txt",iat
jmp cmps
查看全部评分
[复制链接]
发表于 2019-5-6 03:22
|
发表于 2019-5-6 12:50
