工具:原版OllyDbg v1.10 + StrongOD + ODBGScript
声明:JFF(JUST for FUN);转载请注明出处;不得用于商业目的;对滥用本文所造成的一切损害均不承担任何责任!
本文为帖子
《WinLicense SDK 应用实例分析》 的“前传”。
那篇文章中,在没有许可证的情况下,使了三十六计中的“无中生有”,直接从"NEAR OEP"处开始,对相当部分的人来说有一定难度,难免“曲高和寡”。
这次通过演示在另一台虚拟机中对Repack的版本进行Bypass,帮助你解开那个结。目标为那篇文章的附件。内容将限制在本帖标题范围内,不探讨其他限制或脱壳之类的问题。
写这类文章着实是很纠结的,既不能畅所欲言、知无不尽,又不能胡说八道、言之无物。好比莎翁《威尼斯商人》中“一磅肉”的故事,不可能做到兼顾各方利益、绝对公平;不由得心中暗唱到“真的好难...”,有的地方只好“犹抱琵琶半遮面”了,还请各位看官谅解!
一.版本问题
有人问目标的Winlicense版本。想法是对的,大概是不同的版本,应对的方法有所不同。
LCF-AT很早有个脚本"TheMida - WinLicense Info Script",后来这个功能放在了"Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2"中,不幸地是它最高只能检测到2.0.6.0。
原因是,脚本在包含Logo文本和代码的数据片段(该片段在代码运行后会被再次加密)解密后,搜索ASCII的版本信息,后来Oreans把这里的明文信息去掉了。该目标中只剩下"(c)2009 Oreans Technologies"字样。
事实上,版本的明文信息还是存在的,不过在非常靠后的地方,而且始终保持明文状态。因为有一个SDK函数"void WLGetVersion(char* pBuffer);"要用到它,这个函数非常简单,等同于"REP MOVS BYTE PTR ES:[EDI], BYTE PTR [ESI]"一条指令。
因为是给SDK用的,WinLicense自身并不需要它,所以在接近"NEAR OEP"的时候,版本的ASCII字符串才会被解密为明文。
这在Themida时,不会有问题,而在Winlicense时就产生了一个矛盾:我们想通过版本信息来决定如何搞定它,但在搞定它之前又没法知道它的具体版本。
在"NEAR OEP"处,可以查到目标的版本为"2.100",对比一下ZeNiX的"WinLicense 2.1.0.10",同为"2.100",显然它忽略了最后的小版本号。可见目标的版本确实不够“新”,我们把它拿来说事儿,是看中了其SDK应用的特色。
如果你不是Oreans的用户,基本上也就没有多少选择的余地,最近也就Kissy发了个"WinLicense 2.2.3.0 Demo"的Crack算整出点儿水响;VMP那边厢,1ST刚发了个"VMProtect v2.12.3 ULTIMATE"。
随着经验的积累,还有个方法可以帮助我们确定目标版本的范围:通过比较VM_CONTEXT的大小和Handlers的个数。依据为:保护程序和被保护应用里这两个数值是相同的,当然也只是一个参考,不是每一次升级这两个数值都会变化。目标中这两个值为50和A8,与"WinLicense 2.1.0.10"完全一致;查一下"WinLicense 2.2.1.0 Demo",此两值则分别为94和AA,可找到"2.210"字样。
因此,我们有理由推断,当Oreans发布新版本的WinLicense时,它也需要保护,一定是采用自己的技术,即用新版本的WinLicense来保护发行版本:对Demo版,无“锁定”,其效果等同于用新版本的Themida保护,功能上肯定有限制;对"Custom Build"版本,不同的用户限制的项目也是不一样的,没有人愿意放出来(我在tuts4you曾看到有人请求某人放出某个版本遭到拒绝。),有被追查到的风险,就算换KEY、Repack,那个常数(softworm称其为DeltaOffset,Deathway叫做Align)基本上是没法改的,恐怕很难“坐等”了。
所以版本不是重点,了解大致情况即可。甚至方法都不是重点,解决问题的思路才是我们需要的。
二.“FirstJmpAddress/CmpEcxEaxAddress方法”
有人和我交流时,说用到了streamload发表于2011-3-29的文章“
ByPass-WinLicense 硬件锁定[2.1.010-2.1.332] ”中的方法。我发现他的FirstJmpAddress和CmpEcxEaxAddress都找对了,但是脚本Log.txt跑出来的结果不对。非常好,这是一个不错的开始,我正愁怎么开始这篇文章。
帖子的附件"要用到的脚本.rar"中Log.txt和bypassHWLock.txt来源于cektop发表于2011-1-6的文章“
Wl.Cring ”中"Wl.Cring\5.WinLicense V2.1.0.10 ByPass\Example.rar"里的"Script\Log.txt"和"Script\WL ByPassII.txt"。cektop文章中的链接已经失效,可从boycott发表于2011-10-10的帖子“
Winlicense 2.1.0.10 脱壳 ”中找到。
本来我打算把它称为“cektop方法”。后来考虑到,万一是其他人首先公布了这个方法,就乌龙了。而且咱也不能搞个人崇拜,有木有!如果一定要再往前追溯,可能来自于文章“The Winlicense tutorials v1.2.1”(by quosego/snd, 17-04-2009),Is_Registered dwords这个术语大概源于此文。cektop是SND的退休“探员”,意味着cektop和quosego曾是一条战壕的战友!
我老在想,包括LCF-AT这些snd的人,怎么看都像来自咱东北那旮旯的,肿么榜样都移民了?!难怪老太太倒了都没有人扶一把。我们的幸福生活水平总在不断地提高,有人欢天喜地地搬进了新房,有人心满意足地开上了新车;但是生存环境却日趋恶化,这个城市变得越来越拥挤,公共资源因此而短缺,人们整天呼吸充斥着尾气的空气、生活在钢筋水泥森林的鸽子笼中,你能回答你是幸福的吗?移民自然成为成功人士们的选择。屌丝们大概只剩一条路,与焕生们因为失去土地而不得不进城背道而驰,主动去那些大有作为的地方接受再教育!
事实上这个方法就“过硬件锁定”来说,至今在很多情形下仍然工作得很好,看到很多“大牛”还在向人传授这一方法,有人还在这个基础上制作出了所谓的“通用破解工具”。
配合这个方法,cektop在文章“
WinLicense ByPass Source ”中还给出了制作“通用工具”的源码。以至于人们轻松地不仅摹仿了脸,连面都给模仿了。这也没什么好丢人的,文章写出来就是让人模仿和超越的!
void __declspec(naked) New_CmpEcxEaxAddress()
{
_asm
{
popfd
cmp eax,CheckWord_0
jne l_1
mov ecx,eax
l_1:
cmp ecx,eax
pushfd
jmp hCheckNextJmp
}
}; 1. FirstJmpAddress和CmpEcxEaxAddress 0059AF5E /E9 B76F0000 JMP 005A1F1A ; This is the "First JUMP", to VM1_13793FE5
0059AF63 |68 8B427913 PUSH 1379428B
0059AF68 |E9 8F48E8FF JMP 0041F7FC ; Search for CmpEcxEaxAddress under this jmp address
0059AF6D |68 A8447913 PUSH 137944A8
0059AF72 |E9 8548E8FF JMP 0041F7FC
0059AF77 |68 02467913 PUSH 13794602
0059AF7C |E9 7B48E8FF JMP 0041F7FC
0059AF81 |68 FE937913 PUSH 137993FE
0059AF86 |E9 7148E8FF JMP 0041F7FC
0059AF8B |68 A7947913 PUSH 137994A7
0059AF90 |E9 6748E8FF JMP 0041F7FC
0059AF95 |68 08967913 PUSH 13799608 ; Call stack return to here after MessageBox
0059AF9A |E9 5D48E8FF JMP 0041F7FC
... 2. 脚本Log.txt 43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:557135FA ecx:32C724F2 ; 557135FA is the Is_Registered_DWORD1, 32C724F2=[004194E9]
43111C eax:2E77EE79 ecx:560BC21 ; 0560BC21 is the Is_Registered_DWORD2, 0560BC21=[00419E21]
43111C eax:2DA04743 ecx:560BC21
43111C eax:1B84290B ecx:560BC21
43111C eax:721F6913 ecx:560BC21
43111C eax:4BDB9C0E ecx:560BC21
43111C eax:4DCD6E ecx:560BC21
43111C eax:390A42C7 ecx:560BC21
43111C eax:390A42C7 ecx:390A42C7 ; 390A42C7=[004178D5]
43111C eax:0 ecx:0 43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:557135FA ecx:32C724F2 ; 32C724F2=[004194E9]
43111C eax:2E77EE79 ecx:7040FE04 ; 7040FE04=[00419E21]
43111C eax:2DA04743 ecx:7040FE04
43111C eax:1B84290B ecx:7040FE04
43111C eax:721F6913 ecx:7040FE04
43111C eax:4BDB9C0E ecx:7040FE04
43111C eax:4DCD6E ecx:7040FE04
43111C eax:390A42C7 ecx:7040FE04
43111C eax:390A42C7 ecx:390A42C7 ; 390A42C7=[004178D5]
43111C eax:0 ecx:0 43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:0 ecx:0
43111C eax:557135FA ecx:32C724F2 ; 32C724F2=[004194E9]
43111C eax:557135FA ecx:557135FA ; 557135FA=Patched
43111C eax:560BC21 ecx:7040FE04 ; 7040FE04=[00419E21]
43111C eax:2E77EE79 ecx:7040FE04
43111C eax:2DA04743 ecx:7040FE04
43111C eax:1B84290B ecx:7040FE04
43111C eax:721F6913 ecx:7040FE04
43111C eax:4BDB9C0E ecx:7040FE04
43111C eax:4DCD6E ecx:7040FE04
43111C eax:390A42C7 ecx:7040FE04
43111C eax:390A42C7 ecx:390A42C7 ; 390A42C7=[004178D5]
43111C eax:0 ecx:0 Is_Registered_DWORD1_Address = 004194E9
Is_Registered_DWORD2_Address = 00419E21 "An internal exception occured (Address: 0x%x)",LF,CR,"Please, contact support@oreans.com. Thank you!" [00419E21] Message Other Flags
---------- ------- -----------
2E77EE79 当前注册文件不是本机文件,请合法注册。
您的机器码: %machineid 已拷贝到剪贴板
2DA04743 当前注册文件无效。只有有效的注册文件才能运行。
1B84290B 程序只允许特定机器的特定注册文件,请与程序供应商联系。
721F6913 抱歉,网络不允许运行更多的实例
4BDB9C0E 你需要在服务端首先运行软件。
004DCD6E 请开通服务器共享文件夹的写入权限。
390A42C7 您的注册文件已损坏,请重新注册。
您的机器码: %machineid 已拷贝到剪贴板
!=0560BC21 当前注册文件不是本机的,请重新注册。 [004178D5]==390A42C7
您的机器码: %machineid 已拷贝到剪贴板
!=0560BC21 程序不允许硬件更改,请重新注册。 [004178D5]==7040FE00
您的机器码: %machineid 已拷贝到剪贴板
23C225E6 抱歉,程序的使用期限已到,请重新注册。 [004178D5]!=390A42C7 && !=7040FE00
3184ECC7 抱歉,当前注册权限已无效。 [004178D5]!=390A42C7 && !=7040FE00
7040FE01 你的注册文件已过期,请重新注册。 [004178D5]!=390A42C7 && !=7040FE00 && b[005990D2] !=00
您的机器码: %machineid 已拷贝到剪贴板。
7040FE02 你的注册文件已过期,请重新注册。 [004178D5]!=390A42C7 && !=7040FE00 && b[00599262] !=00
您的机器码: %machineid 已拷贝到剪贴板。
7040FE04 你的注册文件已过期,请重新注册。 [004178D5]!=390A42C7 && !=7040FE00 && b[005993F2] !=00
您的机器码: %machineid 已拷贝到剪贴板。
7040FE08 你的注册文件已过期,请重新注册。 [004178D5]!=390A42C7 && !=7040FE00 && b[00599D52] !=00
您的机器码: %machineid 已拷贝到剪贴板。
42369F8A 抱歉,软件无法在当前国家运行。 [004178D5]!=390A42C7 && !=7040FE00
!=0560BC21 对不起,此软件必须注册后才能使用。 [004178D5]!=390A42C7 && !=7040FE00 && [0059AE82]==00000001
您的机器码: %machineid 已拷贝到剪贴板 [004194E9]=32C724F2 & [00419E21]=7040FE04|7040FE01 & [004178D5]=390A42C7 "当前注册文件不是本机的,请重新注册。",LF,CR,"您的机器码: %machineid 已拷贝到剪贴板" 3. 脚本"WL ByPassII.txt" 三.“血字的研究” 1. 关于HWID typedef struct _s_WL_LF_HWID
{
// Here just for "PC Hardware"; not for "External Hardware" such as "U3 USB device" or what else.
// "Hardware ID" Pattern: AAAA-BBBB-CCCC-DDDD-EEEE-FFFF-GGGG-HHHH
WORD HWID_CPUID; // 0 :: PartA - AAAAXXXX
DWORD HWID_HDDID; // 2 :: PartB - BBBBCCCC
DWORD HWID_BIOSID; // 6 :: PartC - DDDDEEEE
DWORD HWID_MACID; // A :: PartD - FFFFGGGG
WORD HWID_CHECKSUMID; // E :: PartE - HHHHYYYY
} sMachineID, sHardwareID, sHWID; AAAA-BBBB-CCCC-DDDD-EEEE-FFFF-GGGG-HHHH [B]HWID_CPUID[/B] AAAAXXXX
计算自两次CPUID指令的结果:a) "Get vendor ID"; b) "Processor Info and Feature Bits",只用高字HIWORD。
[B]HWID_HDDID[/B] BBBBCCCC
计算自硬盘的"HDD Serial"字符串。
在两台虚拟机上测试:IDE和SCSI。SCSI情况下API取"HDD Serial"失败,用"Volume Serial Number"数据。
[B]HWID_BIOSID[/B] DDDDEEEE
两种情况:"Ring-0 option"为"Enabled"或"Disabled"时不同,请阅Oreans's KnowledgeBase文章。
"Disabled"时,仍用"HDD Serial"数据,但算法不同。
[B]HWID_MACID[/B] FFFFGGGG
计算自API Iphlpapi.GetIfTable。
如果返回"Ethernet network interface"的MIB_IFROW.bDescr结构中,第一个双字为0x61774D56("VMwa"),不使用MAC数据,而用一组常数。
也就是说,只有这个字段在早期的VMware虚拟机中(WMware Tools版本差异)为常量。
[B]HWID_CHECKSUMID[/B] HHHHYYYY
前四个HWIDs的Checksum DWORD,只用高字HIWORD。 2. Patching HWID 3. “IAT加密”? Ordinal Address PCRC API Name
------- -------- -------- --------
1 00D49AE4 BADCFD97 ActivateActCtx
2 00D7491D 91ED744E AddAtomA
3 00D71AF1 FFB6EA98 AddAtomW
4 00DB11FF AF323AC1 AddConsoleAliasA
5 00DB11C1 C169A417 AddConsoleAliasW
6 00D98812 E62B0C66 AddLocalAlternateComputerNameA
7 00D986F6 887092B0 AddLocalAlternateComputerNameW
8 00D6B311 AAD2D3FF AddRefActCtx
9 00D48411 C4B2B630 AddVectoredExceptionHandler
A 00DB1851 FB2BBBB3 AllocConsole
...
3B8 00D4B256 DEA1C273 lstrlen
3B9 00D4B256 C6126A73 lstrlenA
3BA 00D48EA9 A849F4A5 lstrlenW Ordinal Address API Name
------- -------- --------
1 7C80A6E4 ActivateActCtx
2 7C83551D AddAtomA
3 7C8326F1 AddAtomW
4 7C871DFF AddConsoleAliasA
5 7C871DC1 AddConsoleAliasW
6 7C859412 AddLocalAlternateComputerNameA
7 7C8592F6 AddLocalAlternateComputerNameW
8 7C82BF11 AddRefActCtx
9= 7C809011 AddVectoredExceptionHandler = NTDLL.RtlAddVectoredExceptionHandler
10 7C872451 AllocConsole
...
952 7C80BE56 lstrlen
953 7C80BE56 lstrlenA
954 7C809AA9 lstrlenW IMAGE_DOS_HEADER.e_lfanew
IMAGE_NT_HEADERS.OptionalHeader
IMAGE_OPTIONAL_HEADER.DataDirectory[0]
IMAGE_DATA_DIRECTORY.VirtualAddress IMAGE_EXPORT_DIRECTORY.NumberOfNames
IMAGE_EXPORT_DIRECTORY.AddressOfFunctions
IMAGE_EXPORT_DIRECTORY.AddressOfNames 1) 从AddressOfNames找到第一个首字母匹配的API函数名
2) 计算PCRC,比较是否匹配。循环直到找到与输入相符合的函数名
3) 从对应的AddressOfFunctions中得到该函数的RVA
4) 转换该RVA为OffsetInFile,加上ImageBase就得到此函数在映射内存中的入口地址。 4. 关于Expiration SOFTWARE\Classes\CLSID\{%8x-%4x-%4x-%4x-%8x}
SOFTWARE\Classes\CcFWSettg
Category\CLSID\{%8x-%4x-%4x-%4x}
SOFTWARE\Classes\CertificateAuthority
SOFTWARE\Classes\CompressedFolder\CLSID
SOFTWARE\Microsoft\Cryptography\RNG
SOFTWARE\Microsoft\DrWatson
SOFTWARE\Microsoft\Windows\Help
... ProdID
SortOrderIndex
InfoTip
LocalizedString
AppID
Merit
%8s
{%8x-%4x-%4x-%4x-%8x}
... SOFTWARE\Classes\CLSID\{721AFD69-6D40-78EE-B9DE-5F631481}, AppID
A0 54 81 54 80 F0 09 70 00 94 F8 23 DE 2F 60 B0
SOFTWARE\Classes\CLSID\{AA9FE269-D59D-EE66-AAAE-AA7CCB89}, AppID
77 23 90 AE BE 48 ED 47 DE E7 FE 2B 47 3D 1D 02
SOFTWARE\Classes\CLSID\{7C1DBB35-9AAB-F701-3FC6-BF22E248}, AppID
7A F1 20 2A BE 08 EC 87 9E E7 FE AB 52 0C 0C 04
... SOFTWARE\Classes\CompressedFolder\CLSID, {721AFD69-6D40-78EE-B9DE-5F631481}
E0 4A 42 3E EC 00 0D 71 0C 08 1D 5D FE BD A1 0D
SOFTWARE\Classes\CompressedFolder\CLSID, {AA9FE269-D59D-EE66-AAAE-AA7CCB89}
70 DD 6F CE D2 08 12 67 52 84 21 9F F0 58 3F F6
SOFTWARE\Classes\CompressedFolder\CLSID, {7C1DBB35-9AAB-F701-3FC6-BF22E248}
8A 11 21 50 EA 07 F2 F6 6A 84 E2 9E F2 69 2E F0
... SOFTWARE\Microsoft\DrWatson, foeyxiti
20 F9 B2 C4 40 E9 D5 C7 60 B8 F6 A7 FE C7 0F 9B
SOFTWARE\Microsoft\DrWatson, rswmtjqq
01 DD 0F B0 7E 11 29 26 7E D4 18 B6 01 17 1F DE
SOFTWARE\Microsoft\DrWatson, sklynwfq
8A ED 20 54 7E 0E 19 24 7E D3 08 54 72 20 0E D8
... %SystemRoot%\install%5d.log
%SystemRoot%\setup%4d.log
%SystemRoot%\Q%6d.log
%SystemRoot%\SET%3d.log
%SystemRoot%\system\MMVER%1d.DLL
%SystemRoot%\system\C3DMOUSE%2d.DLL
%SystemRoot%\system32\%8s.%3s
%SystemRoot%\system32\acprot32X%1d.DLL
%SystemRoot%\system32\SND32NTV86%1s.DLL
%SystemRoot%\system32\kbdro%3dm.dll
... 2012-07-27 06:11 2,666 C:\WINDOWS\SET831.log 2013-01-03 10:03 2,666 C:\WINDOWS\setup8317.log 2012-04-20 20:50 2,666 C:\WINDOWS\system32\kbdro831m.dll 2011-08-11 19:59 2,666 C:\WINDOWS\setup8317.log 四.DEMO说明 Demo1. Finding FirstJmpAddress & CmpEcxEaxAddress Demo2. Run Log Script Demo3. Bypass HWID & Expiration {721AFD69-6D40-78EE-B9DE-5F631481}
80 0F 37 AC 40 08 FB 57 E0 7B 0A F4 DE 62 34 D0 23A30000
{AA9FE269-D59D-EE66-AAAE-AA7CCB89}
F3 A3 91 CE BE F8 E6 D7 5E 7C F7 73 43 8F 1E B2 01CDFB9B {7C1DBB35-9AAB-F701-3FC6-BF22E248}
8A 11 21 50 EA 07 F2 F6 6A 84 E2 9E F2 69 2E F0 07DD010C 00609DA0处 改EAX为0;
00609DAA处 改EAX为1;
00609DB4处 改EAX为1。 Demo4. A Study In Scarlet 五.附件列表 2013-02-06 12:05 2,048,000 WinLicense.Bypass.HWID&Expiration.part1.rar
2013-02-06 12:05 2,048,000 WinLicense.Bypass.HWID&Expiration.part2.rar
2013-02-06 12:05 779,170 WinLicense.Bypass.HWID&Expiration.part3.rar Scripts
-------
2010-12-25 22:47 193 Log.cektop.txt
2011-01-06 19:34 487 WL ByPassII.cektop.txt
2013-01-10 15:42 1,375 Log.MistHill.osc
2013-01-13 16:13 1,487 Log.MistHill.V2.osc
2013-01-14 16:32 3,440 WL ByPassII.MistHill.V3.osc
Demos
-----
2013-02-05 19:29 1,014 01.Finding FirstJmpAddress & CmpEcxEaxAddress.htm
2013-02-05 19:29 572,658 01.Finding FirstJmpAddress & CmpEcxEaxAddress.swf
2013-02-05 19:48 902 02.Run Log Script.htm
2013-02-05 19:48 455,566 02.Run Log Script.swf
2013-02-05 20:53 942 03.Bypass HWID & Expiration.htm
2013-02-05 20:53 1,473,936 03.Bypass HWID & Expiration.swf
2013-02-05 21:47 918 04.A Study In Scarlet.htm
2013-02-05 21:47 1,742,462 04.A Study In Scarlet.swf
WLGetVersion
------------
2013-02-04 18:01 40,960 WLVersion.exe
2013-02-04 18:10 630,784 WLVersion_WL.exe 六.最后的致意 #include "stdafx.h"
#include "resource.h"
#include "WinlicenseSDK.h" // 新增 Line1
#pragma comment (lib,"WinlicenseSDK.lib") // 新增 Line2
#define MAX_LOADSTRING 100
// Global Variables:
HINSTANCE hInst; // current instance
TCHAR szTitle[MAX_LOADSTRING]; // The title bar text
TCHAR szWindowClass[MAX_LOADSTRING]; // The title bar text
TCHAR szWLVersion[MAX_LOADSTRING]; // 新增 Line3
... LRESULT CALLBACK About(HWND hDlg, UINT message, WPARAM wParam, LPARAM lParam)
{
switch (message)
{
case WM_INITDIALOG:
WLGetVersion(szWLVersion); // 新增 Line1 - 取版本信息
SetDlgItemText(hDlg, IDC_EDIT_WLVERSION, szWLVersion); // 新增 Line2 - 显示之
return TRUE;
... 0040134C 68 C0844000 PUSH 004084C0 ; char* pBuffer
00401351 E8 D2350000 CALL 00404928 ; WLGetVersion
00401356 68 C0844000 PUSH 004084C0
0040135B 68 E9030000 PUSH 3E9
00401360 8B4C24 0C MOV ECX, [ESP+C]
00401364 51 PUSH ECX
00401365 90 NOP
00401366 E8 07B69377 CALL user32.SetDlgItemTextA
0040136B B8 01000000 MOV EAX, 1
00401370 C2 1000 RETN 10
...
00404928 E9 ABB40900 JMP 0049FDD8
...
0049FDD8 55 PUSH EBP
...
0049FE44 E9 E03AF7FF JMP 00413929 ; to VM_ENTRY, Key=09334AF3
... [培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
专程过来膜拜的
