手动脱壳进阶第六篇PE-SHiELD V0.25
安装软件后用Peid测NOTEPAD.EXE的壳为PESHiELD 0.25 -> ANAKiN
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
我们把Od中的选项-调试选项-异常选项卡中
手动脱壳时,用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈。不要用Peid查入口,单步跟踪,提高手动找入口能力。
除了忽略在KERNEL32 中的内存访问异常打勾,其余一个勾都不打,请检查自己的Od设置。
用OD载入程序后。
确定一个入口警告,Od提示程序加壳,选不继续分析。
0040D000 > 60 PUSHAD 停在这里。
0040D001 E8 2B000000 CALL NOTEPAD.0040D031
0040D006 0D 0A0D0A0D OR EAX,0D0A0D0A
0040D00B 0A52 65 OR DL,BYTE PTR DS:[EDX+65]
0040D00E 67:6973 74 6572>IMUL ESI,DWORD PTR SS:[BP+DI+74],6465726>
0040D016 20746F 3A AND BYTE PTR DS:[EDI+EBP*2+3A],DH
0040D01A 204E 4F AND BYTE PTR DS:[ESI+4F],CL
0040D01D 4E DEC ESI
...............................................................
先F9运行看看。
程序异常,是加密壳,有SEH陷阱语句。
0040D113 F3: PREFIX REP: ; 多余的前缀
0040D114 23BE FFAA9F21 AND EDI,DWORD PTR DS:[ESI+219FAAFF]
0040D11A 1F POP DS ; 修正的段位寄存器
0040D11B 0D B7FBC989 OR EAX,89C9FBB7
0040D120 4C DEC ESP
0040D121 05 4A17516D ADD EAX,6D51174A
0040D126 D4 1A AAM 1A
0040D128 1F POP DS ; 修正的段位寄存器
Shift+F9想忽略异常,但Od提示被调试的程序无法处理异常,然后退出。这是程序检查到Od在调试,立即执行退出代码。
Ctrl+F2重来,用插件隐藏Od,见截图。
F9运行,
异常1,
0040D232 8DC0 LEA EAX,EAX ; 非法使用寄存器
0040D234 CD 20 INT 20
用Shift+F9忽略异常继续运行。
异常2.
0040D4D7 8DC0 LEA EAX,EAX ; 非法使用寄存器
0040D4D9 CD 20 INT 20
0040D4DB 64:8F03 POP DWORD PTR FS:[EBX]
再用Shift+F9程序运行。
Ctrl+F2重来,用插件隐藏Od.
通过前面的SEH经验看堆栈。
0012FF9C 0012FFE0 指针到下一个 SEH 记录
0012FFA0 0040D4AC SE 句柄
40D4AC是异常处理完毕出口。
我们Ctrl+G ,输入 40D4AC ,回车
0040D4AC 8B4424 0C MOV EAX,DWORD PTR SS:[ESP+C] 到这里下断点,F9运行断在这里后取消断点
0040D4B0 8380 B8000000 0>ADD DWORD PTR DS:[EAX+B8],4 注意这里的堆栈值40D4D7+4=40D4DB
学自jeffzhang的未知加密壳脱文。
0040D4B7 53 PUSH EBX
0040D4B8 33DB XOR EBX,EBX
0040D4BA 8958 04 MOV DWORD PTR DS:[EAX+4],EBX
0040D4BD 8958 08 MOV DWORD PTR DS:[EAX+8],EBX
0040D4C0 C740 18 5501000>MOV DWORD PTR DS:[EAX+18],155
0040D4C7 8958 0C MOV DWORD PTR DS:[EAX+C],EBX
0040D4CA 8958 10 MOV DWORD PTR DS:[EAX+10],EBX
0040D4CD 5B POP EBX
0040D4CE 33C0 XOR EAX,EAX //表示已修复,可以从异常处继续执行
0040D4D0 C3 RETN 如果你执行这里的返回语句,将迷失在系统领空。
0040D4D1 64:FF33 PUSH DWORD PTR FS:[EBX]
0040D4D4 64:8923 MOV DWORD PTR FS:[EBX],ESP
0040D4D7 8DC0 LEA EAX,EAX ; 非法使用寄存器
0040D4D9 CD 20 INT 20
0040D4DB 64:8F03 POP DWORD PTR FS:[EBX] 在这里下断点吧。顺利到达后取消断点。
0040D4DE 8BE0 MOV ESP,EAX
0040D4E0 8B85 A7120000 MOV EAX,DWORD PTR SS:[EBP+12A7] 无特别提示,一律F8过。
0040D4E6 EB 03 JMP SHORT NOTEPAD.0040D4EB
0040D4EB 0340 3C ADD EAX,DWORD PTR DS:[EAX+3C]
0040D4EE EB 01 JMP SHORT NOTEPAD.0040D4F1
0040D4F1 8BC8 MOV ECX,EAX ; NOTEPAD.00400080
0040D4F3 EB 02 JMP SHORT NOTEPAD.0040D4F7
...............................................................
0040D643 EB 01 JMP SHORT NOTEPAD.0040D646
0040D646 8D85 3A110000 LEA EAX,DWORD PTR SS:[EBP+113A]
0040D64C EB 02 JMP SHORT NOTEPAD.0040D650
0040D650 50 PUSH EAX ; NOTEPAD.0040E13A
0040D651 EB 01 JMP SHORT NOTEPAD.0040D654
0040D654 8B85 6B120000 MOV EAX,DWORD PTR SS:[EBP+126B] ; kernel32.CreateFileA
0040D65A EB 01 JMP SHORT NOTEPAD.0040D65D
...............................................................
0040D6A0 E8 110B0000 CALL NOTEPAD.0040E1B6
0040D6A5 EB 01 JMP SHORT NOTEPAD.0040D6A8
0040D6A8 89AD 1F080000 MOV DWORD PTR SS:[EBP+81F],EBP ; NOTEPAD.<ModuleEntryPoint>
0040D6AE EB 01 JMP SHORT NOTEPAD.0040D6B1
0040D6B1 8D95 87110000 LEA EDX,DWORD PTR SS:[EBP+1187]
0040D6B7 EB 01 JMP SHORT NOTEPAD.0040D6BA
0040D6BA 8D8D 1E080000 LEA ECX,DWORD PTR SS:[EBP+81E]
0040D6C0 EB 01 JMP SHORT NOTEPAD.0040D6C3
0040D6C3 52 PUSH EDX ; NOTEPAD.0040E187
0040D6C4 EB 01 JMP SHORT NOTEPAD.0040D6C7
0040D6C7 6A 00 PUSH 0
0040D6C9 EB 01 JMP SHORT NOTEPAD.0040D6CC 省去的代码有些是检查调试器。
0040D6CC 83C2 04 ADD EDX,4
0040D6CF EB 01 JMP SHORT NOTEPAD.0040D6D2
...............................................................
0040D6E1 EB 01 JMP SHORT NOTEPAD.0040D6E4
0040D6E4 8B85 6C110000 MOV EAX,DWORD PTR SS:[EBP+116C] ; kernel32.CreateThread
0040D6EA EB 01 JMP SHORT NOTEPAD.0040D6ED
0040D6ED E8 C9060000 CALL NOTEPAD.0040DDBB
0040D6F2 EB 01 JMP SHORT NOTEPAD.0040D6F5 慢,小心了。
0040D6F5 FFB5 7F110000 PUSH DWORD PTR SS:[EBP+117F] ; kernel32.ExitThread
0040D6FB FF85 83110000 INC DWORD PTR SS:[EBP+1183]
0040D701 C3 RETN 这里会返回系统领空,我进去怎么也出不来。
怎么办,进系统领空后,不久程序就运行,跟踪失败。呵,山人自有妙计。我不知道下面哪个语句是从系统领空出来后继续执行的,从40d702开始,到 0040D8A7 这里我全部下断点,F9运行看你中不中断。用F2和向下键下断点,很辛苦,比跟进系统领空要强一点。这个系统领空里面再次检查断点,调试器,模拟跟踪,等。过后就经过无数循环,到Oep处,我经过调试过,大家最好体验一下。
0040D702 8B85 7B120000 MOV EAX,DWORD PTR SS:[EBP+127B]
0040D708 E9 AE060000 JMP NOTEPAD.0040DDBB
0040D70D 8B85 BC120000 MOV EAX,DWORD PTR SS:[EBP+12BC]
0040D713 E9 A3060000 JMP NOTEPAD.0040DDBB
0040D718 8B85 C0120000 MOV EAX,DWORD PTR SS:[EBP+12C0]
0040D71E E9 98060000 JMP NOTEPAD.0040DDBB
0040D723 8B85 C4120000 MOV EAX,DWORD PTR SS:[EBP+12C4]
0040D729 E9 8D060000 JMP NOTEPAD.0040DDBB
0040D72E 8B85 57120000 MOV EAX,DWORD PTR SS:[EBP+1257]
0040D734 E9 82060000 JMP NOTEPAD.0040DDBB
0040D739 8B85 5B120000 MOV EAX,DWORD PTR SS:[EBP+125B]
0040D73F E9 77060000 JMP NOTEPAD.0040DDBB
0040D744 8D85 69100000 LEA EAX,DWORD PTR SS:[EBP+1069]
0040D74A EB 01 JMP SHORT NOTEPAD.0040D74D
0040D74C EA 8D9DCA0F 000>JMP FAR 0000:0FCA9D8D ; 远距跳转
0040D753 EB 01 JMP SHORT NOTEPAD.0040D756
0040D755 C7 ??? ; 未知命令
0040D756 E9 64050000 JMP NOTEPAD.0040DCBF
0040D75B 8D85 05100000 LEA EAX,DWORD PTR SS:[EBP+1005]
0040D761 EB 01 JMP SHORT NOTEPAD.0040D764
0040D763 - E9 8D9D7C0F JMP 0FBD74F5
0040D768 0000 ADD BYTE PTR DS:[EAX],AL
0040D76A EB 01 JMP SHORT NOTEPAD.0040D76D
0040D76C B8 E94D0500 MOV EAX,54DE9
0040D771 008D 85301000 ADD BYTE PTR SS:[EBP+103085],CL
0040D777 00EB ADD BL,CH
0040D779 01E9 ADD ECX,EBP
0040D77B 8D9D 7C0F0000 LEA EBX,DWORD PTR SS:[EBP+F7C]
0040D781 EB 01 JMP SHORT NOTEPAD.0040D784
0040D783 B8 E9360500 MOV EAX,536E9
0040D788 008B F3EB02EA ADD BYTE PTR DS:[EBX+EA02EBF3],CL
0040D78E 04 8D ADD AL,8D
0040D790 BD A9100000 MOV EBP,10A9
0040D795 EB 02 JMP SHORT NOTEPAD.0040D799
0040D797 CD 20 INT 20
0040D799 B9 0F000000 MOV ECX,0F
0040D79E EB 03 JMP SHORT NOTEPAD.0040D7A3
0040D7A0 44 INC ESP
0040D7A1 50 PUSH EAX
0040D7A2 CA E81B RETF 1BE8 ; 远距返回
0040D7A5 0000 ADD BYTE PTR DS:[EAX],AL
0040D7A7 00EB ADD BL,CH
0040D7A9 01E9 ADD ECX,EBP
0040D7AB 8D85 9B100000 LEA EAX,DWORD PTR SS:[EBP+109B]
0040D7B1 EB 01 JMP SHORT NOTEPAD.0040D7B4
0040D7B3 B8 8D9DAE0F MOV EAX,0FAE9D8D
0040D7B8 0000 ADD BYTE PTR DS:[EAX],AL
0040D7BA EB 02 JMP SHORT NOTEPAD.0040D7BE
0040D7BC EA 04E9FC04 000>JMP FAR 0000:04FCE904 ; 远距跳转
0040D7C3 32C0 XOR AL,AL
0040D7C5 49 DEC ECX
0040D7C6 78 08 JS SHORT NOTEPAD.0040D7D0
0040D7C8 AC LODS BYTE PTR DS:[ESI]
0040D7C9 0AC0 OR AL,AL
0040D7CB 74 03 JE SHORT NOTEPAD.0040D7D0
0040D7CD AA STOS BYTE PTR ES:[EDI]
0040D7CE ^ EB F3 JMP SHORT NOTEPAD.0040D7C3
0040D7D0 AA STOS BYTE PTR ES:[EDI]
0040D7D1 C3 RETN
0040D7D2 8BF3 MOV ESI,EBX
0040D7D4 EB 01 JMP SHORT NOTEPAD.0040D7D7
0040D7D6 - E9 8DBDC510 JMP 11069568
0040D7DB 0000 ADD BYTE PTR DS:[EAX],AL
0040D7DD EB 03 JMP SHORT NOTEPAD.0040D7E2
0040D7DF 57 PUSH EDI
0040D7E0 CD 20 INT 20
0040D7E2 B9 1E000000 MOV ECX,1E
0040D7E7 E8 D7FFFFFF CALL NOTEPAD.0040D7C3
0040D7EC EB 02 JMP SHORT NOTEPAD.0040D7F0
0040D7EE C7 ??? ; 未知命令
0040D7EF 8B8D 85B91000 MOV ECX,DWORD PTR SS:[EBP+10B985]
0040D7F5 00EB ADD BL,CH
0040D7F7 03CD ADD ECX,EBP
0040D7F9 20048D 9DAE0F00 AND BYTE PTR DS:[ECX*4+FAE9D],AL
0040D800 00E9 ADD CL,CH
0040D802 B9 040000EB MOV ECX,EB000004
0040D807 01EA ADD EDX,EBP
0040D809 8D85 EB0F0000 LEA EAX,DWORD PTR SS:[EBP+FEB]
0040D80F EB 02 JMP SHORT NOTEPAD.0040D813
0040D811 C7 ??? ; 未知命令
0040D812 8B8D 9D960F00 MOV ECX,DWORD PTR SS:[EBP+F969D]
0040D818 00E9 ADD CL,CH
0040D81A A1 040000BD MOV EAX,DWORD PTR DS:[BD000004]
0040D81F 00D0 ADD AL,DL
0040D821 40 INC EAX
0040D822 008D B5C51000 ADD BYTE PTR SS:[EBP+10C5B5],CL
0040D828 0083 EC208BFC ADD BYTE PTR DS:[EBX+FC8B20EC],AL
0040D82E B9 08000000 MOV ECX,8 原来这里是出口点,不知道怎么出来的。
0040D833 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS> 倒,这里还有一个SEH陷阱
0040D835 8B85 83110000 MOV EAX,DWORD PTR SS:[EBP+1183]
0040D83B 0BC0 OR EAX,EAX
0040D83D ^ 74 F6 JE SHORT NOTEPAD.0040D835
0040D83F 6A 00 PUSH 0
0040D841 EB 01 JMP SHORT NOTEPAD.0040D844 从来直接在这里下断点。转后面文章标签A
0040D843 EA 68800000 00E>JMP FAR EB00:00008068 ; 远距跳转
0040D84A 01EA ADD EDX,EBP
0040D84C 6A 03 PUSH 3
0040D84E EB 01 JMP SHORT NOTEPAD.0040D851
0040D850 B8 6A00EB01 MOV EAX,1EB006A
0040D855 - E9 6A03EB01 JMP 022BDBC4
0040D85A EA 68000080 00E>JMP FAR EB00:80000068 ; 远距跳转
0040D861 01C7 ADD EDI,EAX
0040D863 8D85 31110000 LEA EAX,DWORD PTR SS:[EBP+1131]
0040D869 EB 02 JMP SHORT NOTEPAD.0040D86D
0040D86B EA 0450EB01 C78>JMP FAR 8BC7:01EB5004 ; 远距跳转
0040D872 856B 12 TEST DWORD PTR DS:[EBX+12],EBP
0040D875 0000 ADD BYTE PTR DS:[EAX],AL
0040D877 EB 01 JMP SHORT NOTEPAD.0040D87A
0040D879 EA E83C0500 00E>JMP FAR EB00:00053CE8 ; 远距跳转
0040D880 01C7 ADD EDI,EAX
0040D882 83F8 FF CMP EAX,-1
0040D885 EB 01 JMP SHORT NOTEPAD.0040D888
0040D887 EA 0F85E4FE FFF>JMP FAR FFFF:FEE4850F ; 远距跳转
0040D88E EB 01 JMP SHORT NOTEPAD.0040D891
0040D890 ^ E2 80 LOOPD SHORT NOTEPAD.0040D812
0040D892 BD 1B120000 MOV EBP,121B
0040D897 01EB ADD EBX,EBP
0040D899 01C8 ADD EAX,ECX
0040D89B 74 6A JE SHORT NOTEPAD.0040D907
0040D89D EB 03 JMP SHORT NOTEPAD.0040D8A2
0040D89F CD 20 INT 20
0040D8A1 04 B9 ADD AL,0B9
0040D8A3 C8 000000 ENTER 0,0
0040D8A7 EB 01 JMP SHORT NOTEPAD.0040D8AA
...................................................................
另类方法。
0040D6F5 FFB5 7F110000 PUSH DWORD PTR SS:[EBP+117F] ; kernel32.ExitThread
0040D6FB FF85 83110000 INC DWORD PTR SS:[EBP+1183] 运行到这句,看信息框出堆栈值。
0040D701 C3 RETN 这里会返回系统领空,我进去怎么也出不来。
040D6FB FF85 83110000 INC DWORD PTR SS:[EBP+1183]中显示的就是0040E183。
到0040E183处下内存访问断点吧,F9运行也能突破0040D701处返回系统Call.
0040D835 8B85 83110000 MOV EAX,DWORD PTR SS:[EBP+1183] 到这里了,后面方法相同。
0040D83B 0BC0 OR EAX,EAX
0040D83D ^ 74 F6 JE SHORT NOTEPAD.0040D835
0040D83F 6A 00 PUSH 0
0040D841 EB 01 JMP SHORT NOTEPAD.0040D844
...................................................
标签A
0040D841 EB 01 JMP SHORT NOTEPAD.0040D844 从来直接在这里下断点。
F8继续走。
0040D863 8D85 31110000 LEA EAX,DWORD PTR SS:[EBP+1131]
还在检查调试器。
0040D871 8B85 6B120000 MOV EAX,DWORD PTR SS:[EBP+126B] ; kernel32.CreateFileA
看堆栈,千万不能下模拟跟踪。
0040D87F /EB 01 jmp short Notepad.0040D882
0040D882 83F8 FF cmp eax,-1
0040D885 EB 01 jmp short Notepad.0040D888
到这里所有SEH和检查调试器代码全部通过,然后经过大量循环到达Oep.
既然如此,我们下模拟跟踪指令。
截图
Tc eip<40d000
模拟跟踪是指
当前的eip小与40d000时,od就会中断,这里如果你的命令位置不错,断点就是oep.
一般来所,程序脱壳的入口处地址有大的变化,一般都小于当前段顶部的eip.这个命令有时要花很长的时间跟踪,不用慢慢跟踪。
0040D000 > 0000 ADD BYTE PTR DS:[EAX],AL 顶部的代码
0040D002 0000 ADD BYTE PTR DS:[EAX],AL
0040D004 0000 ADD BYTE PTR DS:[EAX],AL
0040D006 0000 ADD BYTE PTR DS:[EAX],AL
0040D008 0000 ADD BYTE PTR DS:[EAX],AL
0040D00A 0000 ADD BYTE PTR DS:[EAX],AL
0040D00C 0000 ADD BYTE PTR DS:[EAX],AL
0040D00E 0000 ADD BYTE PTR DS:[EAX],AL
0040D010 0000 ADD BYTE PTR DS:[EAX],AL
运行到OEP处的代码一般小与你跟踪区域顶部的代码,本处我的跟踪区选择正确,如果跟踪区不对或还有SEH干扰命令,程序不是跑飞就是退出。
我在xp系统下模拟跟踪时遇到SEH陷阱无法通过。
7FFE0307 0F05 SYSCALL
7FFE0309 C3 RETN
7FFE030A 8AC8 MOV CL,AL
7FFE030C FF15 70564D80 CALL DWORD PTR DS:[804D5670]
7FFE0312 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
7FFE0315 33C9 XOR ECX,ECX
2000系统中,确定一些入口点警告,几分中后到达Oep.
004010CC 55 PUSH EBP 到站,用Od插件直接脱壳.
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] ; KERNEL32.GetCommandLineA
004010D9 8BF0 MOV ESI,EAX
004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]
004010DD 3C 22 CMP AL,22
004010DF 75 1B JNZ SHORT 004010FC
可以查看运行跟踪记录看它是如何来到Oep出的,我手动也跟踪过,代码不好复制,所以选择模拟跟踪教学.
重建输入表时,插件有两个选项。Method2重建输入表很快,脱壳后运行率高。Method1重建输入表慢,脱壳后运行率较低。不过本程序用Method2重建输入表无法运行,Method1重建输入表后程序可直接运行。
我看了录象 发现用2次断点法最快
终于 2次断点可以排上去场 这个壳用了上堂课的seh处理方法加2次断点法哦 有点难了
0040D000 > 60 PUSHAD od 再入在这
0040D001 E8 2B000000 CALL NOTEPAD.0040D031
0040D006 0D 0A0D0A0D OR EAX,0D0A0D0A
0040D00B 0A52 65 OR DL,BYTE PTR DS:[EDX+65]
f9小跑一段
0040D232 8DC0 LEA EAX,EAX ; 非法使用寄存器 **** 断在这
0040D234 CD 20 INT 20
0040D236 64:8F03 POP DWORD PTR FS:[EBX]
SHIFT+F9跳过异常来到这
0040D4D7 8DC0 LEA EAX,EAX ; 非法使用寄存器 **来到这
0040D4D9 CD 20 INT 20
0040D4DB 64:8F03 POP DWORD PTR FS:[EBX]
察看 堆栈 口
0012FF9C /0012FFE0 指向下一个 SEH 记录的指针
0012FFA0 |0040D4AC SE处理程序 复制这里的地址 0040d4ac
0012FFA4 |7C930738 ntdll.7C930738
CTRL +G 输入 0040D4AC
来到这
0040D4AC 8B4424 0C MOV EAX,DWORD PTR SS:[ESP+C]
0040D4B0 8380 B8000000 0>ADD DWORD PTR DS:[EAX+B8],4
0040D4B7 53 PUSH EBX
0040D4B8 33DB XOR EBX,EBX
0040D4BA 8958 04 MOV DWORD PTR DS:[EAX+4],EBX
还记得上面2个壳 exe stealth 和 yoda “cyter 在这里就可以知道oep拉 看那个pop ed
这个壳复杂点 接着来 2次断点法
点参看内存窗口 alt +m
内存映射
地址 大小 属主 区段 包含 类型 访问 初始访问 已映射为
00400000 00001000 NOTEPAD PE 文件头 Imag R RWE
00401000 00004000 NOTEPAD PESHiELD 代码 Imag R RWE
00405000 00001000 NOTEPAD PESHiELD 数据 Imag R RWE ********************************************************** 在这里下断 属主是notepad 类行是数据
00406000 00001000 NOTEPAD PESHiELD Imag R RWE
00407000 00005000 NOTEPAD PESHiELD 资源 Imag R RWE
0040C000 00001000 NOTEPAD PESHiELD 重定位 Imag R RWE
0040D000 00003000 NOTEPAD ANAKIN2K SFX,输入表 Imag R RWE
f9运行下 让它在解压完code断 开始解压数据段处断下
0040D99A 3107 XOR DWORD PTR DS:[EDI],EAX 断在这
0040D99C EB 02 JMP SHORT NOTEPAD.0040D9A0
0040D99E 0FFF ??? ; 未知命令
0040D9A0 310F XOR DWORD PTR DS:[EDI],ECX
再回来 内存窗口 在代码段下段 oep就在代码段里
内存映射
地址 大小 属主 区段 包含 类型 访问 初始访问 已映射为
00400000 00001000 NOTEPAD PE 文件头 Imag R RWE
00401000 00004000 NOTEPAD PESHiELD 代码 Imag R RWE*********
********************************************************** 在这里下断 属主是notepad 类行是代码
00405000 00001000 NOTEPAD PESHiELD 数据 Imag R RWE
00406000 00001000 NOTEPAD PESHiELD Imag R RWE
00407000 00005000 NOTEPAD PESHiELD 资源 Imag R RWE
0040C000 00001000 NOTEPAD PESHiELD 重定位 Imag R RWE
0040D000 00003000 NOTEPAD ANAKIN2K SFX,输入表 Imag R RWE
再f9 就到oep了
3609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
