02 进程断链、线程断链

已于 2023-05-08 18:07:48 修改
阅读量367 收藏
点赞数
分类专栏: 进程&线程 文章标签: windows
于 2023-05-08 17:24:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130563579
版权
本文展示了如何使用内核驱动进行进程和线程的隐藏操作。驱动代码通过接收3环应用程序传递的进程或线程ID,然后修改PEB(进程环境块)和TEB(线程环境块)的链表结构来实现断链,达到隐藏进程或线程的效果。3环代码部分则展示了如何与驱动交互,传递进程或线程ID以触发断链操作。
摘要由CSDN通过智能技术生成

进程断链

驱动代码

#include <ntifs.h>
#include <wdm.h>
#include <ntddk.h>


//操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用
#define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)


//设备对象
PDEVICE_OBJECT devObj;
//符号链接
UNICODE_STRING symbolLink;

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);


LIST_ENTRY* current_list ;
LIST_ENTRY* pre ;
LIST_ENTRY* next ;


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	//恢复
	current_list->Flink = pre;
	current_list->Blink = next;

	pre->Blink = current_list;
	next->Flink = current_list;

	//删除符号链接
	IoDeleteSymbolicLink(&symbolLink);
	//删除设备
	IoDeleteDevice(devObj);
	DbgPrint("卸载成功!!!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	try {
		//unload
		pDriver->DriverUnload = DriverUnload;

	
		//创建设备和3环通信
		UNICODE_STRING deviceName;
		RtlInitUnicodeString(&deviceName,L"\\Device\\firstDevice");
		NTSTATUS status = IoCreateDevice(
			pDriver,
			0,
			&deviceName,
			FILE_DEVICE_UNKNOWN,
			FILE_DEVICE_SECURE_OPEN,
			FALSE,
			&devObj
		);

		DbgPrint("创建设备 : %d~~\n", status);
		

		//创建符号链接 (3环需要这个符号链接才可以找到)
		RtlInitUnicodeString(&symbolLink,L"\\??\\MYKILLTOOL");
		IoCreateSymbolicLink(&symbolLink,&deviceName);

		//设置通信方式
		pDriver->Flags |= DO_BUFFERED_IO;

		//设置派遣函数
		pDriver->MajorFunction[IRP_MJ_CREATE] = DEVICE_CREATE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_CLOSE] = DEVICE_CLOSE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DEVICE_CONTROL_Dispatch;


	} __except(EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("run error~~\n");
		return STATUS_SUCCESS;
	}
	return STATUS_SUCCESS;
}

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	//从3环获取的PROCESS ID
	UINT32 DATA;
	NTSTATUS status = STATUS_INVALID_DEVICE_REQUEST;
	//获取PIRP的数据
	PIO_STACK_LOCATION psLocation = IoGetCurrentIrpStackLocation(pIrp);
	//获取控制码
	ULONG code = psLocation->Parameters.DeviceIoControl.IoControlCode;
	//获取缓冲区地址(输入和输出都是同一个)
	PVOID bufferAddress = pIrp->AssociatedIrp.SystemBuffer;
	//3环发送的数据字节数
	ULONG threeLength = psLocation->Parameters.DeviceIoControl.InputBufferLength;
	//0环发送的数据字节数
	ULONG zeroLength = psLocation->Parameters.DeviceIoControl.OutputBufferLength;
	//PEPROCESS
	PEPROCESS peprocess;

	switch (code) 
	{
	case HIDE:
		RtlMoveMemory(&DATA, bufferAddress,4);
		if (PsLookupProcessByProcessId((HANDLE)DATA,&peprocess) == STATUS_SUCCESS) //通过PID获取EPROCESS的地址
		{
			DbgPrint("PID : %d ,目前 EPROCESS 地址为:%08x\n", DATA, peprocess);
			//断链
			current_list = (LIST_ENTRY*)((UINT32)peprocess + 0x88);
			pre = current_list->Flink;
			next = current_list->Blink;
		
			current_list->Flink = NULL;
			current_list->Blink = NULL;

			pre->Blink = next;
			next->Flink = pre;

			DbgPrint("断链 success\n");

		}
		else
		{
			status = STATUS_INVALID_HANDLE;
		}
		break;
	default:
		break;
	}


	DbgPrint("3环发送的数据长度 %d~~\n", threeLength);
	DbgPrint("0环发送的数据长度 %d~~\n", zeroLength);
	DbgPrint("关闭进程 : %08x~~\n", DATA);

	//设置返回状态,默认是失败的哦
	pIrp->IoStatus.Status = status;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;

}


NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CREATE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}


NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CLOSE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

3环代码

#include "stdafx.h"
#include <windows.h>
#include <winioctl.h>
#include <stdlib.h>

#define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define SYMBOL_LINK_NAME L"\\\\.\\MYKILLTOOL"

int main(int argc, char* argv[])
{
	//创建设备
	//create device link
	HANDLE h_device = CreateFileW(
		SYMBOL_LINK_NAME,//创建或打开的文件或设备的名称
		GENERIC_READ | GENERIC_WRITE,//请求对文件或设备的访问权限
		0,//文件或设备请求的共享模式,参数为零且 CreateFile 成功,则文件或设备无法共享,并且无法在文件或设备的句柄关闭之前再次打开
		0,//确定返回的句柄是否可以由子进程继承
		OPEN_EXISTING,//仅当文件或设备存在时,才打开该文件或设备
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (h_device == INVALID_HANDLE_VALUE)
	{
		printf("访问驱动符号链接失败!\n");
		system("pause");
		return 0;
	}


	DWORD pid;
	DWORD outBuffer;
	DWORD lbret;
	printf("输入要隐藏的进程id : \n");
	scanf("%d",&pid);

	if (DeviceIoControl(h_device,HIDE,&pid,sizeof(pid),&outBuffer,sizeof(outBuffer),&lbret,NULL))
	{
		printf("success , please test......\n");
	}

	system("pause");
	CloseHandle(h_device);
	return 0;

}

线程断链

驱动代码

#include <ntifs.h>
#include <wdm.h>
#include <ntddk.h>

//操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用
#define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)


//设备对象
PDEVICE_OBJECT devObj;
//符号链接
UNICODE_STRING symbolLink;

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);


LIST_ENTRY* current_list1 ;
LIST_ENTRY* pre1 ;
LIST_ENTRY* next1 ;

LIST_ENTRY* current_list2;
LIST_ENTRY* pre2;
LIST_ENTRY* next2;


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	//恢复

	pre1->Blink = current_list1;
	next1->Flink = current_list1;

	///

	pre2->Blink = current_list2;
	next2->Flink = current_list2;

	//删除符号链接
	IoDeleteSymbolicLink(&symbolLink);
	//删除设备
	IoDeleteDevice(devObj);
	DbgPrint("卸载成功!!!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	try {
		//unload
		pDriver->DriverUnload = DriverUnload;

		//创建设备和3环通信
		UNICODE_STRING deviceName;
		RtlInitUnicodeString(&deviceName,L"\\Device\\firstDevice");
		NTSTATUS status = IoCreateDevice(
			pDriver,
			0,
			&deviceName,
			FILE_DEVICE_UNKNOWN,
			FILE_DEVICE_SECURE_OPEN,
			FALSE,
			&devObj
		);

		DbgPrint("创建设备 : %d~~\n", status);
		

		//创建符号链接 (3环需要这个符号链接才可以找到)
		RtlInitUnicodeString(&symbolLink,L"\\??\\MYKILLTOOL");
		IoCreateSymbolicLink(&symbolLink,&deviceName);

		//设置通信方式
		pDriver->Flags |= DO_BUFFERED_IO;

		//设置派遣函数
		pDriver->MajorFunction[IRP_MJ_CREATE] = DEVICE_CREATE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_CLOSE] = DEVICE_CLOSE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DEVICE_CONTROL_Dispatch;


	} __except(EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("run error~~\n");
		return STATUS_SUCCESS;
	}
	return STATUS_SUCCESS;
}

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	//从3环获取的PROCESS ID
	UINT32 DATA;
	NTSTATUS status = STATUS_INVALID_DEVICE_REQUEST;
	//获取PIRP的数据
	PIO_STACK_LOCATION psLocation = IoGetCurrentIrpStackLocation(pIrp);
	//获取控制码
	ULONG code = psLocation->Parameters.DeviceIoControl.IoControlCode;
	//获取缓冲区地址(输入和输出都是同一个)
	PVOID bufferAddress = pIrp->AssociatedIrp.SystemBuffer;
	//3环发送的数据字节数
	ULONG threeLength = psLocation->Parameters.DeviceIoControl.InputBufferLength;
	//0环发送的数据字节数
	ULONG zeroLength = psLocation->Parameters.DeviceIoControl.OutputBufferLength;
	//PEPROCESS
	PETHREAD pethread;

	switch (code) 
	{
	case HIDE:
		RtlMoveMemory(&DATA, bufferAddress,4);
		if (PsLookupThreadByThreadId(DATA, &pethread) == STATUS_SUCCESS) {
			DbgPrint("线程的地址为:%08x\n", pethread);
			//断链
			current_list1 = (LIST_ENTRY*)((UINT32)pethread + 0x22c);
			pre1 = current_list1->Flink;
			next1 = current_list1->Blink;
			pre1->Blink = next1;
			next1->Flink = pre1;
			
			///

			current_list2 = (LIST_ENTRY*)((UINT32)pethread + 0x1b0);
			pre2 = current_list2->Flink;
			next2 = current_list2->Blink;
			pre2->Blink = next2;
			next2->Flink = pre2;


			DbgPrint("断链 success\n");
		}
		else
		{
			status = STATUS_INVALID_HANDLE;
		}
		break;
	default:
		break;
	}

	DbgPrint("3环发送的数据长度 %d~~\n", threeLength);
	DbgPrint("0环发送的数据长度 %d~~\n", zeroLength);

	//设置返回状态,默认是失败的哦
	pIrp->IoStatus.Status = status;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}


NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CREATE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}


NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CLOSE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

3环代码

#include "stdafx.h"
#include <windows.h>
#include <winioctl.h>
#include <stdlib.h>

#define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define SYMBOL_LINK_NAME L"\\\\.\\MYKILLTOOL"

DWORD WINAPI ThreadProc(LPVOID lpParam)
{
   int i=0;
   while (1)
   {
      printf("\n%d:线程老子还活着!!!\n",i++);
      Sleep(1500);
   }
   return 0;
}

int main(int argc, char* argv[])
{
	//创建设备
	//create device link
	HANDLE h_device = CreateFileW(
		SYMBOL_LINK_NAME,//创建或打开的文件或设备的名称
		GENERIC_READ | GENERIC_WRITE,//请求对文件或设备的访问权限
		0,//文件或设备请求的共享模式,参数为零且 CreateFile 成功,则文件或设备无法共享,并且无法在文件或设备的句柄关闭之前再次打开
		0,//确定返回的句柄是否可以由子进程继承
		OPEN_EXISTING,//仅当文件或设备存在时,才打开该文件或设备
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (h_device == INVALID_HANDLE_VALUE)
	{
		printf("访问驱动符号链接失败!\n");
		system("pause");
		return 0;
	}

	
	DWORD tid;
	DWORD outBuffer;
	DWORD lbret;
	HANDLE hthread = CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)ThreadProc,NULL,NULL,&tid);

    if (hthread==INVALID_HANDLE_VALUE)
    {
		printf("create thread error \n");
        system("pause");
		return -1;
    }  

   system("pause");
   printf("隐藏命令正在发送,请查看线程数是否减少……\n");
	
	if (DeviceIoControl(h_device,HIDE,&tid,sizeof(tid),&outBuffer,sizeof(outBuffer),&lbret,NULL))
	{
		printf("hide thread %08x success , please test......\n",tid);
	}

	system("pause");
	CloseHandle(h_device);
	system("pause");
	return 0;
}
柠檬的泪是酸的@
关注
专栏目录
进程断链
ADADQDQQ的博客
07-27 491
Win7可用 Win10会PG 大概随机几个小时左右就会蓝屏 可应付普通的通过系统API搜索的检测 #include <ntddk.h> PsGetProcessImageFileName( __in PEPROCESS Process ); NTSTATUS PsLookupProcessByProcessId( __in HANDLE ProcessId, __deref_out PEPROCESS* Process ); PEPROCESS FindProcessByName(char*
EPROCESS进程断链
SR0ad的涅盘地
10-24 2050
本身今天说写《Windows驱动开发技术详解》第六章的笔记,但是发现第六章无非是字符串、文件、注册表,其实没有必要抄书,之前写了写笔记,也能够尝试写一点小函数练练手的,就想自己写点小例子记作笔记也是OK的。今天用Windbg的dt命令查看字符串结构的时候,顺带查询了EPROCESS结构,PEB,TEB,_RTL_USER_PROCESS_PARAMETERS这些结构。 kd> dt _EPROC
[转](54)线程结构体 ETHREAD,线程断链
weixin_41875267的博客
11-20 772
一、回顾 上次课我们学习了进程,我们知道了进程是空间概念,最主要的功能是提供CR3,而线程才是CPU调度的最小单位; 更早的时候做SSDT HOOK FindWindow 时我们还了解到了,当3环程序向驱动发起通信时,驱动所属进程就是3环的程序; 学习了EPROCESS里的部分成员,其 ActiveProcessLinks 是进程链表,我们可以通过对其断链实现进程隐藏,DebugPort 是调试端口,抹除它的值可以使三环调试器调试崩溃。 本次课我们来学习线程结构体 E...
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
进程链表摘除指定进程
断链隐藏进程
最新发布
m0_75243362的博客
04-21 898
新手windbg使用,入门内核
易语言-进程隐藏之断链隐藏易语言例程
06-25
在“易语言-进程隐藏之断链隐藏易语言例程”,我们主要讨论的是如何利用易语言来实现进程的隐藏,这是一种常见的系统编程技巧,特别是在开发隐形软件或者防反调试时会用到。 进程隐藏技术的核心在于改变或规避...
利用C++ R3层断链实现模块隐藏功能
08-25
C++ R3层断链实现模块隐藏功能是操作系统级别的编程技术,主要应用于Windows系统,目的是使得特定的模块在程序运行时变得不可见,避免被其他API或工具检测到。以下将详细介绍这一技术的实现原理及关键结构体。 ...
2. ETHREAD和线程断链
Mikasys的博客
11-07 1175
一、ETHREAD结构体 ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 CreateTime : _LARGE_INTEGER +0x1c0 NestedFaultCount : Pos 0, 2 Bits +0x1c0 ApcNeeded : Pos 2, 1 Bit +0x1c8 ExitTime : _LARGE_INTEGER +0x1c8 LpcRepl
权限维持_Windows内核_驱动断链隐藏技术1
08-03
具体实现代码,攻击者会使用内核API如PsCreateSystemThread创建一个新的系统线程,然后在这个线程执行驱动断链操作。关键函数RemoveEntryList用于从链表删除指定的节点。通过这种方式,驱动对象将不再出现在...
PEB断链
hongduilanjun的博客
03-18 2084
断链这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB断链在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB断链 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEB,PEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
进程隐藏之断链隐藏例子-易语言
06-12
通过断链方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败
进程启动&断链
m0_62466350的博客
01-29 1449
函数介绍:运行一个指定的程序。 函数原型如下: 函数成功:return Value>31 函数失败:返回以下值使用 WinExec 函数执行删除 C 盘下的所有文件和文件夹的命令的示例代码如下: 2. ShellExecute 函数介绍:运行一个外部程序(或者是打开一个已经注册的文件、目录,或打印一个文件等),并进行一定程度的控制 函数原型如下: 第二个参数lpOperation的可选项如下: edit:启动编辑器并打开文档进行编辑。如果lpfile不是文档文件,则该函数将失败。 explore:打开由lp
3种方式获取ActiveProcessLinks以实先断链隐藏进程
weixin_73368512的博客
12-10 359
【代码】3种方式获取ActiveProcessLinks以实先断链隐藏进程
_ETHREAD断链 —— 实现线程隐藏
walker的博客
03-08 2477
简介 线程所属的父进程 _EPROCESS 结构体的 ThreadListHead 成员是当前进程所有线程的双向链表头,该成员有两个,分别在 0x50 和 0x190 处。我们可以通过该线程链表头进行线程遍历,也可以通过直接遍历 _ETHREAD 结构体的 ThreadListEntry 成员实现遍历进程的所有线程,ThreadListEntry 分别位于 0x1b0 和 0x22c 处。 我们可以通过 _ETHREAD 的 ThreadListEntry 断链实现线程隐藏。需要注意的是,Threa
进程结构体和线程结构体
kernweak的博客
05-03 1176
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
Windows进程线程学习笔记(一)—— 进程结构体
qq_41988448的博客
11-12 1922
Windows进程线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体 前言 一、学习自滴水编程达人级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 进程结构体 ...
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1451
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
断链隐藏进程及恢复(附代码)
weixin_34163741的博客
03-07 1479
首先,我们知道,进程体EPROCESS是被系统维护在一个双向链表LIST_ENTRY的,那么,我们只要把进程的EPROCESS从这个链表摘除,就可以实现进程隐藏了,当然,这只能瞒过进程管理器和zwQuerySystemInformation,暴力枚举依旧可以发现断链隐藏的进程,因为进程体还在内存,这个以后再说。 要隐藏我们指定的某个进程,我们肯定需要遍历整个EPROCESS链表, 当...
C++ R3层断链:模块隐藏的C++实践
3. **断链操作**: - 实现模块隐藏的核心是修改这些链表结构,比如通过设置`ProcessEnvironmentBlock`的链表成员,使其不再指向目标模块,或者直接删除链表的相关条目。这通常需要对底层内存进行读写操作,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值