[原创]SSDT Hook的妙用－对抗ring0 inline hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]SSDT Hook的妙用－对抗ring0 inline hook

发表于: 2007-3-10 15:18 231212

[原创]SSDT Hook的妙用－对抗ring0 inline hook

堕落天才

2007-3-10 15:18

231212

*******************************************************
*标题:【原创】SSDT Hook的妙用－对抗ring0 inline hook  *
*作者:堕落天才                                     *
*日期:2007年3月10号                                  *
*声明:本文章的目的仅为技术交流讨论                   *
*******************************************************

1,SSDT
   SSDT即系统服务描述符表，它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):
   typedef struct _SYSTEM_SERVICE_TABLE
   {
      PVOID ServiceTableBase;       //这个指向系统服务函数地址表
      PULONG  ServiceCounterTableBase;
      ULONG NumberOfService;       //服务函数的个数,NumberOfService*4 就是整个地址表的大小
      ULONG ParamTableBase;
   }SYSTEM_SERVICE_TABLE,*PSYSTEM_SERVICE_TABLE;

   typedef struct _SERVICE_DESCRIPTOR_TABLE
   {
   SYSTEM_SERVICE_TABLE ntoskrnel;  //ntoskrnl.exe的服务函数
   SYSTEM_SERVICE_TABLE win32k;    //win32k.sys的服务函数,(gdi.dll/user.dll的内核支持)
   SYSTEM_SERVICE_TABLE NotUsed1;
   SYSTEM_SERVICE_TABLE NotUsed2;
   }SYSTEM_DESCRIPTOR_TABLE,*PSYSTEM_DESCRIPTOR_TABLE;

   内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是，KeServiceDescriptorTable仅有ntoskrnel一项，KeServieDescriptorTableShadow包含了ntoskrnel以及win32k。一般的Native API的服务地址由KeServiceDescriptorTable分派，gdi.dll/user.dll的内核API调用服务地址由KeServieDescriptorTableShadow分派。还有要清楚一点的是win32k.sys只有在GUI线程中才加载，一般情况下是不加载的，所以要Hook KeServieDescriptorTableShadow的话，一般是用一个GUI程序通过IoControlCode来触发(想当初不明白这点，蓝屏死机了N次都想不明白是怎么回事)。

2，SSDT HOOK
SSDT HOOK 的原理其实非常简单，我们先实际看看KeServiceDescriptorTable是什么样的。
lkd> dd KeServiceDescriptorTable
8055ab80  804e3d20 00000000 0000011c 804d9f48
8055ab90  00000000 00000000 00000000 00000000
8055aba0  00000000 00000000 00000000 00000000
8055abb0  00000000 00000000 00000000 00000000
在windbg.exe中我们就看得比较清楚，KeServiceDescriptorTable中就只有第一项有数据，其他都是0。其中804e3d20就是
KeServiceDescriptorTable.ntoskrnel.ServiceTableBase，服务函数个数为0x11c个。我们再看看804e3d20地址里是什么东西：
lkd> dd 804e3d20
804e3d20  80587691 805716ef 8057ab71 80581b5c
804e3d30  80599ff7 80637b80 80639d05 80639d4e
804e3d40  8057741c 8064855b 80637347 80599539
804e3d50  8062f4ec 8057a98c 8059155e 8062661f
如上,80587691 805716ef 8057ab71 80581b5c 这些就是系统服务函数的地址了。比如当我们在ring3调用OpenProcess时，进入sysenter的ID是0x7A(XP SP2)，然后系统查KeServiceDescriptorTable，大概是这样KeServiceDescriptorTable.ntoskrnel.ServiceTableBase(804e3d20) + 0x7A * 4 = 804E3F08,然后804E3F08 ->8057559e 这个就是OpenProcess系统服务函数所在,我们再跟踪看看:
lkd> u 8057559e
nt!NtOpenProcess:
8057559e 68c4000000    push 0C4h
805755a3 6860b54e80    push offset nt!ObReferenceObjectByPointer+0x127 (804eb560)
805755a8 e8e5e4f6ff    call nt!InterlockedPushEntrySList+0x79 (804e3a92)
805755ad 33f6          xor    esi,esi
原来8057559e就是NtOpenProcess函数所在的起始地址。
嗯，如果我们把8057559e改为指向我们函数的地址呢？比如 MyNtOpenProcess，那么系统就会直接调用MyNtOpenProcess，而不是原来的NtOpenProcess了。这就是SSDT HOOK 原理所在。

  3, ring0 inline hook
   ring0 inline hook 跟ring3的没什么区别了，如果硬说有的话，那么就是ring3发生什么差错的话程序会挂掉，ring0发生什么差错的话系统就挂掉，所以一定要很小心。inline hook的基本思想就是在目标函数中JMP到自己的监视函数，做一些判断然后再JMP回去。一般都是修改函数头，不过再其他地方JMP也是可以的。下面我们来点实际的吧:
   lkd> u nt!NtOpenProcess
   nt!NtOpenProcess:
   8057559e e95d6f4271    jmp    f199c500
   805755a3 e93f953978    jmp    f890eae7
   805755a8 e8e5e4f6ff    call nt!InterlockedPushEntrySList+0x79 (804e3a92)
   ...
   同时打开“冰刃”跟“Rootkit Unhooker”我们就能在NtOpenProcess函数头看到这样的“奇观”,第一个jmp是“冰刃”的，第二个jmp是“Rootkit Unhooker”的。他们这样是防止被恶意程序通过TerminateProcess关闭。当然“冰刃”还Hook了NtTerminateProcess等函数。

×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
好了，道理就说完了，下面就进入本文正题。
对付ring0 inline hook的基本思路是这样的，自己写一个替换的内核函数，以NtOpenProcess为例，就是MyNtOpenProcess。然后修改SSDT表，让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是，实现NtOpenProcess前10字节指令，然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess函数头写的JMP都失效了，在ring3直接调用OpenProcess再也毫无影响。
***************************************************************************************************************************
#include<ntddk.h>

typedef struct _SERVICE_DESCRIPTOR_TABLE
{
PVOID ServiceTableBase;
PULONG  ServiceCounterTableBase;
ULONG NumberOfService;
ULONG ParamTableBase;
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项,这里就简单点了
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数

/////////////////////////////////////
VOID Hook();
VOID Unhook();
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
//////////////////////////////////////
ULONG JmpAddress;//跳转到NtOpenProcess里的地址
ULONG OldServiceAddress;//原来NtOpenProcess的服务地址
//////////////////////////////////////
__declspec(naked) NTSTATUS __stdcall MyNtOpenProcess(PHANDLE ProcessHandle,
   ACCESS_MASK DesiredAccess,
   POBJECT_ATTRIBUTES ObjectAttributes,
   PCLIENT_ID ClientId)
{
DbgPrint("NtOpenProcess() called");
__asm{
push 0C4h
push 804eb560h  //共十个字节
jmp    [JmpAddress]
}
}
///////////////////////////////////////////////////
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{
DriverObject->DriverUnload = OnUnload;
DbgPrint("Unhooker load");
Hook();
return STATUS_SUCCESS;
}
/////////////////////////////////////////////////////
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
DbgPrint("Unhooker unload!");
Unhook();
}
/////////////////////////////////////////////////////
VOID Hook()
{
ULONG  Address;
Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;//0x7A为NtOpenProcess服务ID
DbgPrint("Address:0x%08X",Address);

OldServiceAddress = *(ULONG*)Address;//保存原来NtOpenProcess的地址
DbgPrint("OldServiceAddress:0x%08X",OldServiceAddress);

DbgPrint("MyNtOpenProcess:0x%08X",MyNtOpenProcess);

JmpAddress = (ULONG)NtOpenProcess + 10; //跳转到NtOpenProcess函数头＋10的地方，这样在其前面写的JMP都失效了
DbgPrint("JmpAddress:0x%08X",JmpAddress);

__asm{//去掉内存保护
cli
      mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
}

*((ULONG*)Address) = (ULONG)MyNtOpenProcess;//HOOK SSDT

__asm{//恢复内存保护
      mov  eax,cr0
or eax,10000h
mov  cr0,eax
sti
}
}
//////////////////////////////////////////////////////
VOID Unhook()
{
ULONG  Address;
Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;//查找SSDT

__asm{
cli
      mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
}

*((ULONG*)Address) = (ULONG)OldServiceAddress;//还原SSDT

__asm{
      mov  eax,cr0
or eax,10000h
mov  cr0,eax
sti
}

DbgPrint("Unhook");
}
××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
就这么多了，或许有人说，没必要那么复杂，直接恢复NtOpenProcess不就行了吗？对于象“冰刃”“Rookit Unhooker”这些“善良”之辈的话是没问题的，但是象NP这些“穷凶极恶”之流的话，它会不断检测NtOpenProcess是不是已经被写回去，是的话，嘿嘿，机器马上重启。这也是这种方法的一点点妙用。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・221

免费・7

支持

最新回复 (186) 1 2 3 4 5 6 7 8 ▶
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 2 楼关注. 2007-3-10 15:21 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 3 楼顶,不得不顶的好贴 2007-3-10 15:24 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 4 楼学习ing,狂顶一个. 2007-3-10 15:31 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼喜欢看堕落天才的文章，我想许多人很喜欢这方面的基础文章。置顶2天鼓励一下。 2007-3-10 15:42 0
古德里安雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	古德里安 6 楼谁的帖子都可以不顶,堕落天才的帖子必须得顶 2007-3-10 15:51 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 7 楼多谢看雪老大的鼓励 2007-3-10 16:00 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 8 楼看来 "堕落天才" 必定成为 2007 年的黑马，顶起。又见堕落天才 2007-3-10 17:16 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 9 楼我拱。。。 VC8 _disable(); uint64 cr0=__readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); 2007-3-10 17:51 0
wxxw 雪币： 95 活跃值： (419) 能力值： ( LV9，RANK：310 ) 在线值：发帖 71 回帖 381 粉丝 1 关注私信	wxxw 6 10 楼学习中..... 2007-3-10 18:52 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 11 楼支持天才 2007-3-10 19:07 0
苦茶雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	苦茶 12 楼呵呵,不错,学习 2007-3-11 00:24 0
我是雷锋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	我是雷锋 13 楼又见堕落天才!!!!!!!!! 2007-3-11 01:25 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 14 楼强，支持一下！ 2007-3-11 10:00 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 15 楼缺点3个 1,硬编码 push 0C4h push 804eb560h 2,还原KeServiceDescriptorTable就无效 3,文章很简单，就是字多了点 2007-3-11 11:48 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 16 楼支持girl发表缺点更少的文章.. 2007-3-11 12:37 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 17 楼给系统打补丁，就恢复不了，除非内置各SP的SSDT 2007-3-11 13:56 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 18 楼我觉得还是应该学习detour.lib那样HOOK 。自己准备一个小型反汇编器。因为很显然搂主的代码不具有通用性~~ 硬编码是很麻烦的东西~ 2007-3-11 13:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 19 楼最初由 foxabu* 发布* 我觉得还是应该学习detour.lib那样HOOK 。自己准备一个小型反汇编器。因为很显然搂主的代码不具有通用性~~ 硬编码是很麻烦的东西~ 直接读ntoskrnl.exe文件，取得函数的头10字节也是可以的吧？ 2007-3-11 14:03 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 20 楼最初由笨笨雄* 发布* 直接读ntoskrnl.exe文件，取得函数的头10字节也是可以的吧？怎么确保读取文件的内容是真实的呢？文件读取也可能被hook欺骗。 2007-3-11 16:12 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 21 楼留名 . 2007-3-11 16:40 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 22 楼最初由 heXer* 发布* 怎么确保读取文件的内容是真实的呢？文件读取也可能被hook欺骗。很难保证内容的真实。。。到处都是陷阱 2007-3-11 17:09 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 23 楼强贴要留名 2007-3-11 18:26 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 24 楼突然发现我理解错foxabu的话了我还得继续努力学习才能跟上大牛啊。。。 2007-3-11 18:51 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 25 楼好东西,我顶.我支持! 2007-3-11 19:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

堕落天才

发帖

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (186) 1 2 3 4 5 6 7 8 ▶
linhanshi 雪币： 97697 活跃值： (200834) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 2 楼关注. 2007-3-10 15:21 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 3 楼顶,不得不顶的好贴 2007-3-10 15:24 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 4 楼学习ing,狂顶一个. 2007-3-10 15:31 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 5 楼喜欢看堕落天才的文章，我想许多人很喜欢这方面的基础文章。置顶2天鼓励一下。 2007-3-10 15:42 0
古德里安雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	古德里安 6 楼谁的帖子都可以不顶,堕落天才的帖子必须得顶 2007-3-10 15:51 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 7 楼多谢看雪老大的鼓励 2007-3-10 16:00 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 8 楼看来 "堕落天才" 必定成为 2007 年的黑马，顶起。又见堕落天才 2007-3-10 17:16 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 9 楼我拱。。。 VC8 _disable(); uint64 cr0=__readcr0(); cr0 &= 0xfffffffffffeffff; __writecr0(cr0); 2007-3-10 17:51 0
wxxw 雪币： 95 活跃值： (419) 能力值： ( LV9，RANK：310 ) 在线值：发帖 71 回帖 381 粉丝 1 关注私信	wxxw 6 10 楼学习中..... 2007-3-10 18:52 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 11 楼支持天才 2007-3-10 19:07 0
苦茶雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	苦茶 12 楼呵呵,不错,学习 2007-3-11 00:24 0
我是雷锋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	我是雷锋 13 楼又见堕落天才!!!!!!!!! 2007-3-11 01:25 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 14 楼强，支持一下！ 2007-3-11 10:00 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 15 楼缺点3个 1,硬编码 push 0C4h push 804eb560h 2,还原KeServiceDescriptorTable就无效 3,文章很简单，就是字多了点 2007-3-11 11:48 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 16 楼支持girl发表缺点更少的文章.. 2007-3-11 12:37 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 17 楼给系统打补丁，就恢复不了，除非内置各SP的SSDT 2007-3-11 13:56 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 18 楼我觉得还是应该学习detour.lib那样HOOK 。自己准备一个小型反汇编器。因为很显然搂主的代码不具有通用性~~ 硬编码是很麻烦的东西~ 2007-3-11 13:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 19 楼最初由 foxabu* 发布* 我觉得还是应该学习detour.lib那样HOOK 。自己准备一个小型反汇编器。因为很显然搂主的代码不具有通用性~~ 硬编码是很麻烦的东西~ 直接读ntoskrnl.exe文件，取得函数的头10字节也是可以的吧？ 2007-3-11 14:03 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 20 楼最初由笨笨雄* 发布* 直接读ntoskrnl.exe文件，取得函数的头10字节也是可以的吧？怎么确保读取文件的内容是真实的呢？文件读取也可能被hook欺骗。 2007-3-11 16:12 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 21 楼留名 . 2007-3-11 16:40 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 22 楼最初由 heXer* 发布* 怎么确保读取文件的内容是真实的呢？文件读取也可能被hook欺骗。很难保证内容的真实。。。到处都是陷阱 2007-3-11 17:09 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 23 楼强贴要留名 2007-3-11 18:26 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 24 楼突然发现我理解错foxabu的话了我还得继续努力学习才能跟上大牛啊。。。 2007-3-11 18:51 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 25 楼好东西,我顶.我支持! 2007-3-11 19:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复