什么是手動(dòng)查殺病毒技術(shù)
通過(guò)對(duì)目標(biāo)系統(tǒng)進(jìn)程春瞬、網(wǎng)絡(luò)連接狀態(tài)绎秒、隨機(jī)啟動(dòng)項(xiàng)目等信息的綜合分析與判斷,結(jié)合使用各種系統(tǒng)命令與工具手動(dòng)確認(rèn)病毒(木馬)與清除病毒的技術(shù)
為什么要學(xué)習(xí)手工病毒查殺技術(shù)
殺毒軟件更新慢分飞,主要依賴于病毒庫(kù)的更新。黑客長(zhǎng)期對(duì)自己的后門(mén)示启、病毒進(jìn)行免殺處理濒析。
有關(guān)免殺技術(shù)介紹:http://baike.baidu.com/view/706274.htm
當(dāng)病毒文件隱藏時(shí)我們就要借用ark系列工具
創(chuàng)建鎖定123文件夾命令md 123../ 這種文件可以通過(guò)xuetr工具解鎖刪除
什么是ARK系列工具
(Anti Rootkit kernel) 反內(nèi)核系列工具, 目前三大主流ARK系列工具有:冰刃(Ice Sword) Wsyscheck(Windows System Check)概漱、 XueTr 有關(guān)ARK詳細(xì)請(qǐng)參考以下資料:http://baike.baidu.com/link?url=zBXN9mRFw5Uxb12RG-2t1eip1qWfqREuztJSAHpB7ZaVTHIXwSjqnRutlruu6regB4HiWlouy40Dxr2BAvqZqK
隨機(jī)啟動(dòng)項(xiàng)目在注冊(cè)表中的位置
1)“啟動(dòng)”文件夾──最常見(jiàn)的自啟動(dòng)程序文件夾。
它位于系統(tǒng)分區(qū)的“documents and Settings-->User-->〔開(kāi)始〕菜單-->程序”目錄下移剪。這時(shí)的User指的是登錄的用戶名究珊。
2)“All Users”中的自啟動(dòng)程序文件夾──另一個(gè)常見(jiàn)的自啟動(dòng)程序文件夾。
它位于系統(tǒng)分區(qū)的“documents and Settings-->All User-->〔開(kāi)始〕菜單-->程序”目錄下纵苛。前面提到的“啟動(dòng)”文件夾運(yùn)行的是登錄用戶的自啟動(dòng)程序剿涮,而“All Users”中啟動(dòng)的程序是在所有用戶下都有效(不論你用什么用戶登錄)。
3)“Load”鍵值── 一個(gè)埋藏得較深的注冊(cè)表鍵值攻人。
位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主鍵下取试。
4)“Userinit”鍵值──用戶相關(guān)
它則位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主鍵下,也是用于系統(tǒng)啟動(dòng)時(shí)加載程序的怀吻。一般情況下瞬浓,其默認(rèn)值為“userinit.exe”,由于該子鍵的值中可使用逗號(hào)分隔開(kāi)多個(gè)程序蓬坡,因此猿棉,在鍵值的數(shù)值中可加入其它程序。
5)“Explorer\Run”鍵值──與“l(fā)oad”和“Userinit”兩個(gè)鍵值不同的是屑咳,“Explorer\Run”同時(shí)位于〔HKEY_CURRENT_USER〕和〔HKEY_LOCAL_MACHINE〕兩個(gè)根鍵中萨赁。它在兩個(gè)中的位置分別為(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。
6)“RunServicesOnce”子鍵──它在用戶登錄前及其它注冊(cè)表自啟動(dòng)程序加載前面加載兆龙。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下杖爽。
7)“RunServices”子鍵──它也是在用戶登錄前及其它注冊(cè)表自啟動(dòng)程序加載前面加載。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。
8)“RunOnce\Setup”子鍵──其默認(rèn)值是在用戶登錄后加載的程序掂林。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup〕下。
9)“RunOnce”子鍵──許多自啟動(dòng)程序要通過(guò)RunOnce子鍵來(lái)完成第一次加載坝橡。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下泻帮。位于〔HKEY_CURRENT_USER〕根鍵下的RunOnce子鍵在用戶登錄扣及其它注冊(cè)表的Run鍵值加載程序前加載相關(guān)程序,而位于〔HKEY_LOCAL_MACHINE〕主鍵下的Runonce子鍵則是在操作系統(tǒng)處理完其它注冊(cè)表Run子鍵及自啟動(dòng)文件夾內(nèi)的程序后再加載的计寇。在Windows XP中還多出一個(gè)〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX〕子鍵锣杂,其道理相同。
10)“Run”子鍵──目前最常見(jiàn)的自啟動(dòng)程序用于加載的地方番宁。這個(gè)鍵同時(shí)位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run〕下元莫。其中位于〔HKEY_CURRENT_USER〕根鍵下的Run鍵值緊接著〔HKEY_LOCAL_MACHINE〕主鍵下的Run鍵值啟動(dòng),但兩個(gè)鍵值都是在“啟動(dòng)”文件夾之前加載蝶押。
11)再者就是Windows中加載的服務(wù)了踱蠢,它的級(jí)別較高,用于最先加載棋电。其位于〔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services〕下茎截,看到了嗎,你所有的系統(tǒng)服務(wù)加載程序都在這里了赶盔!
12)Windows Shell──系統(tǒng)接口它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕下面的Shell字符串類(lèi)型鍵值中企锌,基默認(rèn)值為Explorer.exe,當(dāng)然可能木馬程序會(huì)在此加入自身并以木馬參數(shù)的形式調(diào)用資源管理器于未,以達(dá)到欺騙用戶的目的撕攒。 如(explorer.exe c:\1.exe)
13)BootExecute──屬于啟動(dòng)執(zhí)行的一個(gè)項(xiàng)目 可以通過(guò)它來(lái)實(shí)現(xiàn)啟動(dòng)Natvice程序,Native程序在驅(qū)動(dòng)程序和系統(tǒng)核心加載后將被加載烘浦,此時(shí)會(huì)話管理器(smss.exe)進(jìn)行windowsNT用戶模式并開(kāi)始按順序啟動(dòng)native程序它位于注冊(cè)表中〔HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\〕下面抖坪,有一個(gè)名為BootExecute的多字符串值鍵,它的默認(rèn)值是"autocheck autochk *"谎倔,用于系統(tǒng)啟動(dòng)時(shí)的某些自動(dòng)檢查柳击。這個(gè)啟動(dòng)項(xiàng)目里的程序是在系統(tǒng)圖形界面完成前就被執(zhí)行的,所以具有很高的優(yōu)先級(jí)片习。
14)策略組加載程序──打開(kāi)Gpedit.msc捌肴,展開(kāi)“用戶配置——管理模板——系統(tǒng)——登錄”,就可以看到“在用戶登錄時(shí)運(yùn)行這些程序”的項(xiàng)目藕咏,你可以在里面添加状知。在注冊(cè)表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]你也可以看到相對(duì)應(yīng)的鍵值。
15) windows映像劫持技術(shù)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 在此項(xiàng)下面新建--項(xiàng)(123.exe),再到123.exe項(xiàng)下面新建--字符串(取名叫:debugger),debugger字符串里面填寫(xiě)任意文件(如:c:\windows\system32\cmd.exe),最后打開(kāi)123.exe發(fā)現(xiàn)變成打開(kāi)cmd.exe了孽查。
木馬病毒可能存在的地方
Svchost.exe進(jìn)程的研究分析
【1】:服務(wù)對(duì)應(yīng)的二進(jìn)制文件可分為可執(zhí)行文件和DLL動(dòng)態(tài)鏈接庫(kù)文件兩類(lèi)饥悴。對(duì)于可執(zhí)行文件來(lái)說(shuō),本身就是一個(gè)宿主程序,但是對(duì)于DLL動(dòng)態(tài)鏈接庫(kù)來(lái)說(shuō)不可以直接去執(zhí)行它西设,只有通過(guò)一個(gè)宿主程序來(lái)調(diào)用它來(lái)進(jìn)行執(zhí)行瓣铣。對(duì)于服務(wù)页屠,我們可以通過(guò)開(kāi)始——運(yùn)行——輸入“services.msc”進(jìn)入到服務(wù)笨使。我們就拿個(gè)最簡(jiǎn)單的Telnet服務(wù)來(lái)說(shuō),右擊可以看到它所調(diào)用的文件就是C:\Windows\System32\tlnsvr.exe的可執(zhí)行文件祟辟,這種可執(zhí)行文件本身就是一個(gè)服務(wù)宿主程序禽绪,不需要調(diào)用DLL動(dòng)態(tài)鏈接來(lái)實(shí)現(xiàn)蓖救,如果該宿主文件不存在,或者文件名不對(duì)印屁,那么就無(wú)法啟動(dòng)Telnet服務(wù)了循捺。當(dāng)我們啟動(dòng)Telnet的時(shí)候,進(jìn)程中自然多出一個(gè)服務(wù)宿主程序的進(jìn)程雄人。而對(duì)于某些服務(wù)需要調(diào)用DLL動(dòng)態(tài)鏈接庫(kù)从橘,如果我們直接去運(yùn)行DLL動(dòng)態(tài)鏈接庫(kù)是無(wú)法直接執(zhí)行的,必須通過(guò)一個(gè)宿主程序來(lái)進(jìn)行調(diào)用執(zhí)行柠衍,經(jīng)常使用到的這個(gè)服務(wù)宿主程序就是Svchost.exe洋满。
【2】Svhost.exe,是大多數(shù)Windows服務(wù)的宿主程序珍坊。Svchost.exe程序就是一個(gè)用于加載服務(wù)對(duì)應(yīng)的二進(jìn)制文件為DLL的宿主程序牺勾。
【3】Svchost.exe一般位于%systemroot%\system32目錄里,如果啟用了DllCache功能阵漏,還可能備份在%systemroot%system32\dllcache目錄下驻民,另外,如果WindowsService Pack不是使用集成安裝的履怯,也就是不是集成SP補(bǔ)丁包的而是通過(guò)微軟更新的回还,那么還可能存在于%systemroot%\ServicePack目錄下。除此之外Svchost.exe不應(yīng)該存在其它目錄下叹洲,如果存在柠硕,那么這個(gè)Svchost.exe可能不是系統(tǒng)自帶的而是一種病毒等一些而已軟件生成的,請(qǐng)小心檢查运提。特別是一些木馬經(jīng)常使用這個(gè)程序來(lái)進(jìn)行偽裝運(yùn)行在內(nèi)存中蝗柔。
【4】Svchost.exe作為服務(wù)的宿主程序,在啟動(dòng)的時(shí)候民泵,通過(guò)以下方法來(lái)啟動(dòng)服務(wù):系統(tǒng)啟動(dòng)的時(shí)候癣丧,系統(tǒng)讀取注冊(cè)表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost下的鍵值,在這個(gè)分支下栈妆,有很多鍵值為REG_MULTI_SZ的鍵值胁编,也就是多字符串值厢钧,在該主鍵下每一個(gè)鍵值代表著一組服務(wù)。Svchost.exe的每個(gè)實(shí)例將執(zhí)行一個(gè)鍵值為REG_MULTI_SZ的鍵值嬉橙,舉例來(lái)說(shuō)早直,當(dāng)Svchost.exe開(kāi)始讀取netsvcs的時(shí)候,系統(tǒng)將創(chuàng)建一個(gè)svchost.exe的實(shí)例(在任務(wù)管理器里面呈現(xiàn)為進(jìn)行)來(lái)處理netsvcs鍵值的數(shù)據(jù)市框。所有在netsvcs里面描述的服務(wù)將運(yùn)行于一個(gè)svchost.exe進(jìn)程里面莽鸿,也就是說(shuō),一個(gè)svchost.exe將處理所有netsvcs里面記錄的服務(wù)拾给。這就是所謂宿主的概念。不過(guò)有一點(diǎn)需要注意兔沃,如果有任何一個(gè)服務(wù)發(fā)生問(wèn)題蒋得,可能導(dǎo)致宿主程序svchost.exe的崩潰,甚至導(dǎo)致Windows崩潰乒疏。如果強(qiáng)制結(jié)束svchost.exe進(jìn)程额衙,那么這個(gè)宿主程序所啟動(dòng)的服務(wù)都將停止崩潰。
【5】在不停的系統(tǒng)中怕吴,svchost.exe的實(shí)例數(shù)目是不相同的窍侧。這是因?yàn)槲④泴⒉煌姆?wù)歸結(jié)到不同的svchost.exe實(shí)例中,在Windows Server 2003和XP下转绷,RpcSc(提供終結(jié)點(diǎn)映射服務(wù)RPC服務(wù))服務(wù)就單獨(dú)的由一個(gè)svchost.exe實(shí)例負(fù)責(zé)伟件,這是為了保證不會(huì)由于其它服務(wù)的錯(cuò)誤而導(dǎo)致整個(gè)svchost.exe進(jìn)程錯(cuò)誤。而netsvcs中的幾十個(gè)服務(wù)卻也使用一個(gè)Svchost.exe實(shí)例來(lái)進(jìn)行負(fù)責(zé)议经,我們可以通過(guò)“tasklist /svc” 和注冊(cè)表中就可以輕易的看到斧账。
【6】我們可以這樣理解:如果有一個(gè)svchost.exe作為2和服務(wù)的宿主,其中一個(gè)是系統(tǒng)重要的服務(wù)A煞肾,如果A停止咧织,則整個(gè)系統(tǒng)就崩潰,而另外一個(gè)是服務(wù)B籍救,B不是一個(gè)重要的服務(wù)习绢,停止B不會(huì)引起整個(gè)系統(tǒng)的崩潰。如果某一天服務(wù)B發(fā)生異常蝙昙,導(dǎo)致B的宿主程序svchost.exe崩潰闪萄,那么也會(huì)導(dǎo)致服務(wù)A崩潰。從而導(dǎo)致系統(tǒng)崩潰耸黑。
【7】一個(gè)svchost.exe作為幾個(gè)服務(wù)的宿主很重要的桃煎,也不要對(duì)自己的系統(tǒng)里面的svchost.exe實(shí)例數(shù)量為什么要比別人多,其實(shí)影響svchost.exe實(shí)例數(shù)量完全決定于你開(kāi)啟的服務(wù)的數(shù)量或者某些程序需要通過(guò)注入到該宿主服務(wù)中進(jìn)行啟動(dòng)大刊。如果某些不需要的服務(wù)可以停止掉以減少內(nèi)存的使用为迈,如果停止的一些服務(wù)都是包含于一個(gè)svchost.exe三椿,那么這個(gè)進(jìn)程就會(huì)不再啟動(dòng),因?yàn)闆](méi)有服務(wù)需要這個(gè)實(shí)例進(jìn)行啟動(dòng)了葫辐。微軟之所以將那么多服務(wù)使用一個(gè)宿主程序來(lái)啟動(dòng)就是為了節(jié)省我們的系統(tǒng)資源搜锰。
【8】要想知道我們進(jìn)程中的每一個(gè)Svchost.exe分別是啟動(dòng)了哪些服務(wù),可以通過(guò)tasklist /svc查看每一個(gè)加載不同服務(wù)的svchost.exe的PID值耿战,并且在任務(wù)管理器查看——選擇列——勾選PID(進(jìn)程標(biāo)識(shí)符)蛋叼,這樣就可以很好的知道哪個(gè)svchost.exe是加載哪些服務(wù)的。
【9】如何使用輔助工具判斷svchost.exe是否為偽造進(jìn)程呢剂陡?第一個(gè)就是判斷svchost.exe的所在的啟動(dòng)路徑狈涮,正常的路徑都是在C:\Windwos\System32下,第二個(gè)還是必須要大家的經(jīng)驗(yàn)鸭栖,也就是說(shuō)歌馍,你必須要熟悉一個(gè)正常系統(tǒng)的svchost.exe是啟動(dòng)了的哪些服務(wù)是正常的。
Windows其它木馬晕鹊、病毒加載項(xiàng)
1松却、在Win.ini中啟動(dòng)
在Win.ini的[windows]字段中有啟動(dòng)命令“l(fā)oad=”和“run=”,在一般情況下“=”后面是空白的溅话,如果有后跟程序晓锻,比方說(shuō)是這個(gè)樣子:run=c:\windows\file.exe load=c:\windows\file.exe要小心了,這個(gè)file.exe很可能是木馬飞几。
2砚哆、在System.ini中啟動(dòng)
System.ini位于Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所屑墨,木馬通常的做法是將該句變?yōu)檫@樣:shell=Explorer.exe window.exe窟社,注意這里的window.exe就是木馬程序。
另外绪钥,在System.ini中的[386Enh]字段灿里,要注意檢查在此段內(nèi)的“driver=路徑\程序名”,這里也有可能被木馬所利用程腹。再有匣吊,在System.ini中的[mic]、[drivers]寸潦、[drivers32]這三個(gè)字段色鸳,這些段也是起到加載驅(qū)動(dòng)程序的作用,但也是增添木馬程序的好場(chǎng)所见转。
3命雀、在Autoexec.bat和Config.sys中加載運(yùn)行
但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后,將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行斩箫,而且采用這種方式不是很隱蔽吏砂,所以這種方法并不多見(jiàn)撵儿,但也不能因此而掉以輕心哦。他會(huì)在里面加入這樣的命令:@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\ del c:\win.reg
4狐血、在Winstart.bat中啟動(dòng)
Winstart.bat是一個(gè)特殊性絲毫不亞于Autoexec.bat的批處理文件淀歇,也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成匈织,在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動(dòng)程序之后開(kāi)始執(zhí)行(這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式可得知)浪默。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行缀匕,危險(xiǎn)由此而來(lái)纳决。
5、啟動(dòng)組
木馬隱藏在啟動(dòng)組雖然不是十分隱蔽乡小,但這里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所岳链,因此還是有木馬喜歡在這里駐留的。啟動(dòng)組對(duì)應(yīng)的文件夾為:C:\Windows\Start Menu\Programs\StartUp劲件,在注冊(cè)表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
6约急、*.INI
即應(yīng)用程序的啟動(dòng)配置文件零远,控制端利用這些文件能啟動(dòng)程序的特點(diǎn),將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋同名文件厌蔽,這樣就可以達(dá)到啟動(dòng)木馬的目的了牵辣。
7、修改文件關(guān)聯(lián)
修改文件關(guān)聯(lián)是木馬常用手段(主要是國(guó)產(chǎn)木馬奴饮,老外的木馬大都沒(méi)有這個(gè)功能)纬向,比方說(shuō)正常情況下txt文件的打開(kāi)方式為Notepad.EXE文件,但一旦中了文件關(guān)聯(lián)木馬戴卜,則txt文件打開(kāi)方式就會(huì)被修改為用木馬程序打開(kāi)逾条,如著名的國(guó)產(chǎn)木馬冰河就是這樣干的⊥栋“冰河”就是通過(guò)修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值师脂,將“C:\Windows\Notepad.exe %1”改為“C:\Windows\System\SYSEXPLR.EXE %1”,這樣一旦你雙擊一個(gè)txt文件江锨,原本應(yīng)用Notepad打開(kāi)該文件的吃警,現(xiàn)在卻變成啟動(dòng)木馬程序了,好狠毒哦啄育!請(qǐng)大家注意酌心,不僅僅是txt文件,其他諸如HTM挑豌、EXE安券、ZIP墩崩、COM等都是木馬的目標(biāo)。對(duì)付這類(lèi)木馬完疫,只能檢查HKEY_CLASSES_ROOT\文件類(lèi)型\shell\open\command主鍵泰鸡,查看其鍵值是否正常。
8壳鹤、捆綁文件
實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接盛龄,然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起,然后上傳到服務(wù)端覆蓋原文件芳誓,這樣即使木馬被刪除了余舶,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會(huì)被安裝上去了锹淌。綁定到某一應(yīng)用程序中匿值,如綁定到系統(tǒng)文件,那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬赂摆。
當(dāng)發(fā)現(xiàn)可疑文件時(shí)挟憔,你可以試試能不能刪除它,因?yàn)槟抉R多是以后臺(tái)方式運(yùn)行的烟号,通過(guò)按Ctrl+Alt+Del是找不到的绊谭,而后臺(tái)運(yùn)行的應(yīng)是系統(tǒng)進(jìn)程。如果在前臺(tái)進(jìn)程里找不到汪拥,而又刪不了(提示正在被使用)那就應(yīng)該注意了达传。
我們可以通過(guò)
dir /ah 只查看隱藏文件
del /ah /f +運(yùn)行文件 刪除隱藏文件不需進(jìn)行確認(rèn)
如果啟用了DllCache功能,還可能備份在%systemroot%system32\dllcache目錄下 我們必須先刪除備份隱藏文件在刪除文件
最后編輯于 :
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者