Ollvm 重写BCF虚假控制流

已于 2022-11-17 14:20:23 修改
阅读量590 收藏 2
点赞数
分类专栏: ollvm学习 文章标签: 安全
于 2022-08-22 12:28:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengzhenghui123/article/details/126459892
版权

1 添加pass 

在目录 lib\Transforms\Obfuscation 新建MyBcf.cpp

剩下的 流程更上一篇一样 

ollvm 添加新的命令参数并编写第一个pass_flygle~的博客-CSDN博客_ollvm 参数

什么是虚假控制流

虚假控制流指的是,通过向正常控制流中插入若干不可达基本块和由不透明谓词造成的虚假跳转以产生大量垃圾代码干扰攻击者分析的混淆

2 编写测试函数 来一个最简单的函数

int myadd(int a ,int b)__attribute((__annotate__(("mybcp"))));
int myadd(int a ,int b)
{
	int i=10;
	return a+b+i;
}

查看 cfg 可以看到只有一个基本块    接下来 的任务就是在此基本块的基础上增加一个虚假控制流

myadd 函数编译后的 IR 代码

接下来的pass会基于该基本块的IR 代码进行处理 

BasicBlock 
  %3 = alloca i32, align 4
  %4 = alloca i32, align 4
  %5 = alloca i32, align 4
  store i32 %0, i32* %3, align 4
  call void @llvm.dbg.declare(metadata i32* %3, metadata !237, metadata !238), !dbg !239
  store i32 %1, i32* %4, align 4
  call void @llvm.dbg.declare(metadata i32* %4, metadata !240, metadata !238), !dbg !241
  call void @llvm.dbg.declare(metadata i32* %5, metadata !242, metadata !238), !dbg !243
  store i32 10, i32* %5, align 4, !dbg !243
  %6 = load i32, i32* %3, align 4, !dbg !244
  %7 = load i32, i32* %4, align 4, !dbg !245
  %8 = add nsw i32 %6, %7, !dbg !246
  %9 = load i32, i32* %5, align 4, !dbg !247
  %10 = add nsw i32 %8, %9, !dbg !248
  ret i32 %10, !dbg !249

 以下 是IR代码常用的指令解释
 

 *  语法简介
        @ - 全局变量
        % - 局部变量
        alloca - 在当前执行的函数的堆栈帧中分配内存,当该函数返回到其调用者时,将自动释放内存
        i32 - 32位4字节的整数
        align - 对齐
        store - 将数据写入到指定的内存中
        load - 读出,store写入
        icmp - 两个整数值比较,返回布尔值
        br - 选择分支,根据条件来转向label,不根据条件跳转的话类型goto
        label - 代码标签
        call - 调用函数

 虚假控制流原理:

首先会根据基本块进行分割 ,分割完毕创建一个永真的判定条件进行控制流分发 ,达到虚假的控制流目的

3 编写bcf pass代码

void MyBcf::mybogus(Function &F) 
{
       std::list<BasicBlock *> basicBlocks;
       //遍历添加函数的所有基本块
       int index = 0;
       for (Function::iterator i=F.begin();i!=F.end();++i) 
       {
          basicBlocks.push_back(&*i);
          index++;
       }
       errs() <<"basicBlocks count  "<< index << "\n";

       while(!basicBlocks.empty())
       {
          //BasicBlock *originalBB = basicBlock->splitBasicBlock(i1, *var);
          BasicBlock *basicBlock = basicBlocks.front();
          errs() <<"basicB "<< *basicBlock << "\n";
          //1 找到第一条指令
          BasicBlock::iterator i1 = basicBlock->begin();
          //获取本basicblock中第一个不是Phi、debug、terminator的指令的地址
          //LLVM的指令类型中包含一种特殊节点叫 PhiNode,PhiNode 的存在是为了解决 LLVM IR 中因 SSA (静态单次赋值)引起的条件初始化问题
          if(basicBlock->getFirstNonPHIOrDbgOrLifetime())
            i1 = (BasicBlock::iterator)basicBlock->getFirstNonPHIOrDbgOrLifetime();


          //2 然后调用splitBasicBlock函数。该函数根据上述指令的地址将一个basicblock进行拆分
          Twine *var;
          var = new Twine("originalBB");
          BasicBlock *originalBB = basicBlock->splitBasicBlock(i1, *var);
          //3 先脱离父节点的关系
          errs() <<"eraseFromParent before "<< *basicBlock << "\n";
          basicBlock->getTerminator()->eraseFromParent();
          errs() <<"eraseFromParent after "<< *basicBlock << "\n";

          //4 将originalBB 克隆一份 
          Twine * var3 = new Twine("copyBB");
          BasicBlock *copyBB = createCopyBasicBlock(originalBB, *var3, &F);

          //5 添加判定语句 永真 if(1.0 == 1.0) 
          Value * LHS = ConstantFP::get(Type::getFloatTy(F.getContext()), 1.0);
          Value * RHS = ConstantFP::get(Type::getFloatTy(F.getContext()), 1.0);
          Twine * var4 = new Twine("condition");
          FCmpInst * condition = new FCmpInst(*basicBlock, FCmpInst::FCMP_TRUE , LHS, RHS, *var4);
          //6 为真时跳转到originalBB,为假则跳转到alteredBB
          BranchInst::Create(originalBB, copyBB, (Value *)condition, basicBlock);
          errs() <<"basicBlock "<< *basicBlock << "\n";
          errs() <<"copyBB "<< *copyBB << "\n";
          errs() <<"originalBB "<< *originalBB << "\n";
          
          basicBlocks.pop_front();
      }
}

//复制一个基本块 随机加一些指令 因为用不到所以可以随便加
BasicBlock* MyBcf::createCopyBasicBlock(BasicBlock * basicBlock, const Twine &Name, Function *F )
{
      ValueToValueMapTy VMap;
      //先克隆基本块
      //但是CloneBasicBlock函数进行的克隆并不是完全的克隆,第一他不会对指令的操作数进行替换
      BasicBlock * alteredBB = llvm::CloneBasicBlock (basicBlock, VMap, Name, F);
      //所以要通过VMap对所有操作数进行映射,使其恢复正常:
      BasicBlock::iterator ji = basicBlock->begin();
      for (BasicBlock::iterator i = alteredBB->begin(), e = alteredBB->end() ; i != e; ++i)
      {
        for(User::op_iterator opi = i->op_begin (), ope = i->op_end(); opi != ope; ++opi){
          // 获取操作数的值
          Value *v = MapValue(*opi, VMap,  RF_None, 0);
          if (v != 0){
            *opi = v;
          }
        }
        //对phinode 进行处理
        if (PHINode *pn = dyn_cast<PHINode>(i)) {
          for (unsigned j = 0, e = pn->getNumIncomingValues(); j != e; ++j) {
            Value *v = MapValue(pn->getIncomingBlock(j), VMap, RF_None, 0);
            if (v != 0){
              pn->setIncomingBlock(j, cast<BasicBlock>(v));
            }
          }
        }

        SmallVector<std::pair<unsigned, MDNode *>, 4> MDs;
        i->getAllMetadata(MDs);
        i->setDebugLoc(ji->getDebugLoc());
        ji++;

      } 


      for (BasicBlock::iterator i = alteredBB->begin(), e = alteredBB->end() ; i != e; ++i)
      {
        if(i->isBinaryOp()){ 
          //获取操作码
          unsigned opcode = i->getOpcode();
          BinaryOperator *op, *op1 = NULL;
          Twine *var = new Twine("_");
          //opcode 操作码
          if(opcode == Instruction::Add || opcode == Instruction::Sub  )
          {

            op1 = BinaryOperator::Create(Instruction::Sub,
                            i->getOperand(0),
                            i->getOperand(1),*var,&*i);
            op = BinaryOperator::Create(Instruction::Mul,op1,
                            i->getOperand(1),"gen",&*i);
    


          }
        }
      }

      return  alteredBB;
}

4 代码解释

以上代码都加了注释 详细就不多说了

解释一下流程

1 先遍历添加函数的所有基本块 然后循环取出基本块  找到第一条指令

2 调用splitBasicBlock函数 进行分割 分割过后基本块会多一个标签

3 调用createCopyBasicBlock   会拷贝一个原始基本块 由于我们原始的基本块很简单就直接是加法  这里我只处理了opcde 为add的逻辑  

处理逻辑如下 如果是指令add  就直接添加 一个sub 指令 和 mul 指令 当然也可以添加更多的指令 

 //opcode 操作码
          if(opcode == Instruction::Add || opcode == Instruction::Sub )
          {

            op1 = BinaryOperator::Create(Instruction::Sub,
                            i->getOperand(0),
                            i->getOperand(1),*var,&*i);
            op = BinaryOperator::Create(Instruction::Mul,op1,
                            i->getOperand(1),"gen",&*i);
    


          }

以下是copy  出来的基本块  可以看到里面多了sub mul 指令 

copyBB 
; <label>:13:                                     ; preds = %2
  %14 = alloca i32, align 4
  %15 = alloca i32, align 4
  %16 = alloca i32, align 4
  store i32 %0, i32* %14, align 4
  call void @llvm.dbg.declare(metadata i32* %14, metadata !250, metadata !238), !dbg !239
  store i32 %1, i32* %15, align 4
  call void @llvm.dbg.declare(metadata i32* %15, metadata !284, metadata !238), !dbg !241
  call void @llvm.dbg.declare(metadata i32* %16, metadata !285, metadata !238), !dbg !243
  store i32 10, i32* %16, align 4, !dbg !243
  %17 = load i32, i32* %14, align 4, !dbg !244
  %18 = load i32, i32* %15, align 4, !dbg !245
  %19 = sub i32 %17, %18 
  %20 = mul i32 %19, %18
  %21 = add nsw i32 %17, %18, !dbg !246
  %22 = load i32, i32* %16, align 4, !dbg !247
  %23 = sub i32 %21, %22
  %24 = mul i32 %23, %22
  %25 = add nsw i32 %21, %22, !dbg !248
  ret i32 %25, !dbg !249

4 添加判定语句 永真

这里逻辑就是 为true 就跳转到原始块, false 跳转到 copy 的块 ,由于判定永远为true 所以只能跳转到原始块 这样之前的代码逻辑改变的前提下 还多了一个判定逻辑,所以控制流也就慢慢出现雏形了 编译后 再看cfg 是不是就多了一些块了 

5 替换永真语句为代数恒等式

添加两个全局变量   即不透明谓词 让ida无法识别 x y 的变量的值 自然也不会进行任何优化

bool MyBcf::doF(Module &M)
{

      //添加全局变量
      Twine * varX = new Twine("x");
      Twine * varY = new Twine("y");
      Value * x1 =ConstantInt::get(Type::getInt32Ty(M.getContext()), 0, false);
      Value * y1 =ConstantInt::get(Type::getInt32Ty(M.getContext()), 0, false);

      GlobalVariable 	* x = new GlobalVariable(M, Type::getInt32Ty(M.getContext()), false,
          GlobalValue::CommonLinkage, (Constant * )x1,
          *varX);
      GlobalVariable 	* y = new GlobalVariable(M, Type::getInt32Ty(M.getContext()), false,
          GlobalValue::CommonLinkage, (Constant * )y1,
          *varY);


      std::vector<Instruction*> toEdit, toDelete;
      BinaryOperator *op,*op1 = NULL;
      LoadInst * opX , * opY;
      ICmpInst * condition, * condition2;
      //在整个类 遍历 cmp 为true 的条件语句
      //    basicBlock 
      //       %3 = fcmp true float 1.000000e+00, 1.000000e+00
      //       br i1 %3, label %4, label %13
      for(Module::iterator mi = M.begin(), me = M.end(); mi != me; ++mi){
        for(Function::iterator fi = mi->begin(), fe = mi->end(); fi != fe; ++fi){
          //fi->setName("");
          TerminatorInst * tbb= fi->getTerminator();
          if(tbb->getOpcode() == Instruction::Br){
            BranchInst * br = (BranchInst *)(tbb);
            if(br->isConditional()){
              FCmpInst * cond = (FCmpInst *)br->getCondition();
              unsigned opcode = cond->getOpcode();
              if(opcode == Instruction::FCmp){
                if (cond->getPredicate() == FCmpInst::FCMP_TRUE){
                  DEBUG_WITH_TYPE("gen",
                      errs()<<"bcf: an always true predicate !\n");
                  toDelete.push_back(cond); // The condition
                  toEdit.push_back(tbb);    // The branch using the condition
                }
              }
            }
          }
          /*
          for (BasicBlock::iterator bi = fi->begin(), be = fi->end() ; bi != be; ++bi){
            bi->setName(""); // setting the basic blocks' names
          }
          */
        }
      }
      //替换 为 以下代数恒等式
      for(std::vector<Instruction*>::iterator i =toEdit.begin();i!=toEdit.end();++i)
      {
        //if  x*(x+1) % 2 || y < 10  == 0 
        opX = new LoadInst ((Value *)x, "", (*i));
        opY = new LoadInst ((Value *)y, "", (*i));
        //Sub
        op = BinaryOperator::Create(Instruction::Add, (Value *)opX, //加
            ConstantInt::get(Type::getInt32Ty(M.getContext()), 1,
              false), "", (*i));
        op1 = BinaryOperator::Create(Instruction::Mul, (Value *)opX, op, "", (*i)); //乘
        op = BinaryOperator::Create(Instruction::URem, op1,
            ConstantInt::get(Type::getInt32Ty(M.getContext()), 2,
              false), "", (*i));
        condition = new ICmpInst((*i), ICmpInst::ICMP_EQ, op, //相等
            ConstantInt::get(Type::getInt32Ty(M.getContext()), 0,
              false));
        condition2 = new ICmpInst((*i), ICmpInst::ICMP_SLT, opY, //小于
            ConstantInt::get(Type::getInt32Ty(M.getContext()), 10,
              false));
        op1 = BinaryOperator::Create(Instruction::Or, (Value *)condition,
            (Value *)condition2, "", (*i));
        
        //获取后继者 br i1 %3, label %12, label %21
        //如果op1 结果为true 执行 getSuccessor(0) 否则 执行getSuccessor(1)
        BranchInst::Create(((BranchInst*)*i)->getSuccessor(0),
            ((BranchInst*)*i)->getSuccessor(1),(Value *) op1,
            ((BranchInst*)*i)->getParent());


        (*i)->eraseFromParent(); // erase the branch
      }
      // Erase all the associated conditions we found
      for(std::vector<Instruction*>::iterator i =toDelete.begin();i!=toDelete.end();++i)
      {
        (*i)->eraseFromParent();
      }



      return true;
} // end of doFinalization

flygle~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
混淆技术研究-OLLVM混淆-虚假控制(BCF)
Tasfa的博客
09-10 5999
虚假控制(BCF, Bogus Control Flow),该方法通过在当前基本块之前添加一个基本块来修改函数调用图。这个新的基本块包含一个不透明谓词,然后进行条件跳转到原始基本块。并且原始基本块也被克隆,并填充了随机选择的垃圾指令。
ollvm学习——虚假控制
qq_42372980的博客
08-12 359
虚假控制 程序先收集函数中所有的 BasicBlock 和 alloca 指令,然后再随机挑选 BasicBlock 加上虚假控制。这个 Pass 通过被选中的 BasicBlock 生成虚假的 BasicBlock,然后再使用不透明谓词将这两个 BasicBlock 连在一起。 在构建虚假BasicBlock时,首先复制原来的original BasicBlock,然后再修复虚假的 BasicBlock,例如修复 phi 节点和编译时生成的 metadata。 构造虚假BasicBlock的思路
ollvm源码分析之虚假控制(2)
qq_42308741的博客
03-09 838
参考网站:Obfuscator-llvm源码分析 参考网站:ollvm源码分析 Pass之BogusControlFlow 实现功能是:添加虚假控制 1 命令 命令 解析 -mllvm -bcf 激活虚假控制 -mllvm -bcf_loop 若被激活,应用3次虚假控制,默认为1 -mllvm -bcf_prob=40 若被激活,基本块的40%被混淆,默认为30% 2 代码分析 2.1 入口函数runOnFunction 继承了FunctionPass,因此它的入口函数即
debogus:使用Angr对OLLVM伪造控制进行模糊处理
05-22
恶作剧 利用angr符号执行去除虚假控制 用法 python debogus.py [-h] [-f FILE] [-s START] [-e END] 可选参数: -h, --help show this help message and exit -f FILE, --file FILE The path of binary file to deobfuscate -s START, --start START Start address of target function -e END, --end END End address of target function 例如: python debogus.py -f attachment -s 404350 -e 404AD5
【reverse】虚假控制入门:Ubuntu20.04安装ollvm4.0踩坑记+用IDApython去除BCF
hans774882968的博客
09-25 2090
虚假控制(Bogus Control Flow,BCF),通过加入包含不透明谓词的条件跳转(也就是跳转与否在运行之前就已经确定的跳转,但IDA无法分析)和不可达的基本块,来干扰IDA的控制分析和F5反汇编。 Ubuntu20.04安装ollvm+各种踩坑记录 那些永远不会执行到的代码块,就叫做不可达的基本块。这些跳转和不可达基本块并不会影响程序原有的逻辑,但会干扰我们的分析,这就是虚假控制混淆达到的效果。尝试用IDApython去除bcf
BCF关联工具修改BCF文件和启动游戏组件(BCF relational tools)
04-12
BCF关联工具是一款专为游戏爱好者和开发者设计的实用软件,主要用于处理和修改BCF(Battle Crime Files)文件。BCF文件通常包含了游戏中的各种数据,如角色信息、道具设置、场景配置等,是游戏运行不可或缺的部分。...
ndk-r17b编译及使用ollvm-tti步骤(提供编译后文件)
02-27
LOCAL_CFLAGS := -mllvm -sub -mllvm -bcf -mllvm -fla -mllvm -sobf 四、编译后文件下载地址(文件太大上传不了,上传至网盘了) 1.备份NDK_PATH/toolchains/llvm目录 2.删除NDK_PATH/toolchains/llvm/prebuilt...
泊游BCF配置工具.zip
04-19
BCF文件是游戏中控制战斗逻辑、命令序列以及游戏设置的一种配置文件,它对于游戏的运行和玩家体验至关重要。通过这款工具,用户可以自定义游戏参数,实现个性化设定,提升游戏可玩性。 首先,我们要理解BCF文件的...
node_bcf2000:用于控制百灵达 bcf2000 上的推子的简单 nodejs 模块
07-05
[网络服务器] ----net---- [本地机器... Mixer.js:混合器类,在本地机器上运行 app.js:在本地机器上使用混合器的示例 server.js:混音器将连接到的示例 Web 服务器 runnign socket.io 正在进行的工作 - 很多待办事项
BCF-2.5.0-UserGuide
02-17
This chapter provides an overview of the Big Cloud Fabric architecture, describes how it works, and summarizes the product features. This chapter includes the following sections
OLLVM指令替换和虚假控制
小龙在线
01-15 425
OLLVM指令替换 常见的替换方式: a = b - (-c) a = -(-b + (-c)) r = rand (); a = b + r; a = a + c; a = a - r r = rand (); a = b - r; a = a + b; a = a + r OLLVM虚假控制程 IDA分析特征: x、y开头的全局变量,未初始化(一般是LDR加载),但被IDA识别成可能有值。 IDA查看Exports导出函数时,会看到很多x、y开头的全局变量,可以帮助我们分析。 参考 https://
我的LLVM学习笔记——OLLVM混淆研究之BCF
suningning的专栏
11-29 3898
因为要做代码保护,所以抽时间研究了下OLLVM中的三种保护方案:BCF(Bogus Control Flow,中文名虚假控制)、FLA(Control Flow Flattening,中文名控制平坦化)、SUB(Instructions Substitution,中文名指令替换),本文是BCF介绍篇。 1,查看BCF的头文件,暴露给外界的两个函数如下: // Namespace name...
利用 obfuscator-llvm 对安卓平台 so库进行混淆 虚假程,字符串混淆。
情随事迁个人博客
02-12 451
使用第三方没啥难度,牛逼的还是这些 搞混淆 防止破解的人呐!!! 另外网上某些教程说的太麻烦复杂了,我都是直接下载孤挺花和obfuscator-llvm/一样的用法,编译之后替换bin目录的文件就行了,不需要那么复杂的改那么多东西,而且那么多复杂的步骤没缕清关系就要调到坑里面去了。 github https://github.com/obfuscator-llvm/obfuscator git c...
【iOS逆向与安全】使用ollvm混淆你的源码_
最新发布
qq_44005305的博客
06-15 189
简单的入门文章,希望能帮助到你。最后给大家准备了一份大礼包!
【网络安全】ollvm反混淆学习
HBohan的博客
09-23 2845
ollvm原理 Ollvm大致可分为 bcf(虚假块), fla(控制展开), sub(指令膨胀), Split(基本块分割) bcf: 克隆一个真实块,并随机替换其中的一些指令,然后用一个永远为真的条件建立一个分支。克隆后的块是不会被执行的。 Fla: 将所有的真实块使用一个switch case结构包裹起来,每个真实块执行完毕后都会重新赋值switch var,对于有分支的块会使用select指令,并跳转到switch起始代码块(分发器)上,根据switch var来执行下一个真实块。 Sub: 指令
ollvm 重写sub 指令替换
flygle~的博客
11-17 282
指令替换:简单来说就是把一些操作指令 替换为同等但是复杂一些的指令集
辨别虚假量的十二种方法
iteye_15786的博客
04-26 467
  辨别虚假量的十二种方法 1、使用高级群组分割量 在检查前先要将这部分广告量与网站的其他量进行分割,高级群组是最好的选择。因为我们之前对量进行过来源标记,所以只需要创建一个来源等于bluewhale的高级群组就可以分割出这部分量了。如图1所示。 图1过滤来自bluewhale.cc的量 创建完成后,在报告中选择使用这个高级群组。这部分量将会贯穿整个报告。这也是在...
反编译原理(5)-控制分析
Joe_yaoxiao的专栏
02-22 1872
转自https://bbs.pediy.com/thread-247201.htm   控制分析 控制结构恢复、变量和类型恢复是反编译器中端向后端转化最关键的两个步骤,本文讨论控制结构恢复。 1. 编译器 主要是概述鲸书“高级编译器的设计与实现”第7章控制分析,并且增加了一些内容,所涉及的相关论文书籍自行查找学习,还可以从维基百科了解学习。 1.1 Graph Algorith...
Android LLVM-Obfuscator C/C++ 混淆编译的深入研究
热门推荐
我的专栏
04-29 2万+
一、 LLVM是什么? (1)LLVM是lowlevel virtual machine的简称,是一个编译器框架。苹果公司的Xcode 4.0之后用的都是LLVM编译器。 (2)LLVM 诞生于2003.10伊利诺伊大学香槟分校,创始人ChrisLattner,现任苹果公司『开发者工具』部门的主管。     二、 LLVM-Obfuscator 是什么? (1)LLVM-
美赛2020bcf题翻译
05-02
美赛2020 BCF 题意如下: 这道题目考察的是一个小镇的道路系统,其中有许多道路相连,每条道路都有一个特定的量和一个虚拟的收费站。收费站计算通过这条道路的车辆数量,然后根据车辆数量向车主收取一定的费用。收费站的个数和排列顺序已经固定了,而道路的量则一直在发生变化。 你的任务是设计一种算法,使得能够找到最优的车辆路线,使得总费用最小。具体而言,你需要找到最小费用的车辆路线,并计算路线上的所有收费站的收费总和。这个问题的数据非常大,需要使用高效的算法来解决。 这道题目需要我们先将道路和收费站建立成一个图,然后使用最小生成树算法来寻找最优的车辆路线。最小生成树算法中,我们需要根据网络图的边权值来计算最短路径。需要考虑如何对边权值排序,并计算最优路线上的收费总和。 总的来说,这道题目需要我们熟练掌握最小生成树算法,同时也需要对边权值排序及收费总和的计算有一定的理解。通过这道题目的练习,我们能够更加深入地理解算法的应用,并锻炼自己解决大规模数据问题的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值