外挂克星脱壳——江湖OnLine V1.05中秋版
下载页面: http://jianghuol.88joy.com.cn
软件大小: 884M
软件简介: 游戏。那是一个被历史杜撰者刻意遗忘的年代,如果有谁刻意去追问个究竟,他会被反问,当生命没有价值,那么真相还有什么意义!所以,因为曾经有过那么的一个时代,武林就失去了它原来历史。
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教
【调试环境】:WinXP、OllyDBD、Themida、PEiD、LordPE、ImportREC
—————————————————————————————————
【脱壳过程】:
逝者如斯,2005年中秋居然也过了。
很久没写东西了,有朋友说江湖OnLine的壳没见过,所以看看,游戏是没时间玩的。
江湖OnLine的客户端应该是采用乐宇科技的外挂克星保护的。
外挂克星算是比较低调,似乎专门为网游开发。和某个壳应该有关系。
[LY_WGKX -> www.szleyu.com]
signature = 4D 79 46 75 6E 00 62 73
ep_only = false
—————————————————————————————————
一、以壳克壳
外挂克星对OllyDBD的检测比较繁琐,这部分我就不详细说明了,可以让其注入到记事本中或者用SoftICE来调试。最简单的解决方法是,用Themida对原版OllyDBG.exe加壳,这样就可以避开那些反调试了,算是Themida也为UnPacKer做点好事吧。强调一下,Themida有可能会造成系统崩溃,另外试用版有20分钟的限制,正好强制休息一下啦。
加壳后的JiangHu.exe输入表只有一个函数,JiangHu.dll的MyFun,先调用JiangHu.dll对BS_StopApiM.DB解密,得到BS_StopApiM.dll,然后把BS_StopApiM.dll注入到Explorer.exe进程中,大部分反跟踪检测都在此注入代码中进行。检测黑名单、检测OllyDBG第一个区段数据、检测特征码等等,看来作者对OllyDBD研究了不少,不过对SoftICE+IceExt却不作抵抗,可惜。
JiangHu.exe通过Loader运行,可以BP CreateProcessA获得参数,直接调试也行。
0012F830 00402984 /CALL 到 CreateProcessA 来自 Launcher.0040297E
0012F834 004584D8 |ModuleFileName = "JiangHu.exe"
0012F838 0012F8B8 |CommandLine = "JiangHu.exe 619290899"
0012F83C 00000000 |pProcessSecurity = NULL
0012F840 00000000 |pThreadSecurity = NULL
0012F844 00000000 |InheritHandles = FALSE
0012F848 00000000 |CreationFlags = 0
0012F84C 00000000 |pEnvironment = NULL
0012F850 00000000 |CurrentDir = NULL
0012F854 0012F874 |pStartupInfo = 0012F874
0012F858 0012F864 \pProcessInfo = 0012F864
—————————————————————————————————
二、HeapAlloc后门检测
在OllyDBG等三环Debugger调试状态下,LocalAlloc、HeapAlloc申请内存的初始填充值非0,某些壳可以通过这个来检测调试器了。
LPVOID HeapAlloc(
HANDLE hHeap, // handle to private heap block
DWORD dwFlags, // heap allocation control
SIZE_T dwBytes // number of bytes to allocate
);
dwFlags:
HEAP_NO_SERIALIZE equ 00000001h
HEAP_GROWABLE equ 00000002h
HEAP_GENERATE_EXCEPTIONS equ 00000004h
HEAP_ZERO_MEMORY equ 00000008h
HEAP_REALLOC_IN_PLACE_ONLY equ 00000010h
HEAP_TAIL_CHECKING_ENABLED equ 00000020h
HEAP_FREE_CHECKING_ENABLED equ 00000040h
HEAP_DISABLE_COALESCE_ON_FREE equ 00000080h
HEAP_CREATE_ALIGN_16 equ 00010000h
HEAP_CREATE_ENABLE_TRACING equ 00020000h
HEAP_MAXIMUM_TAG equ 0FFFh
HEAP_PSEUDO_TAG_FLAG equ 8000h
HEAP_TAG_SHIFT equ 18
dwFlags=00000008,则申请的内存处以00填充
————————————————————————
设置OllyDBD暂停在系统断点,忽略所有异常选项。使用IsDebug插件。
7C921231 C3 retn
//进入OllyDbg后暂停在这
HeapAlloc在XP上输出转向为ntdll的RtlAllocateHeap
下断:BP RtlAllocateHeap [ESP]<20000000
其实这里我们可以先运行,让其异常,就能快速定位到检测处了。
Shift+F9中断约8次后看堆栈:
0012FEB4 100034C7 返回到 JiangH_1.100034C7 来自 ntdll.RtlAllocateHeap
0012FEB8 003C0000
0012FEBC 00000000
0012FEC0 00019000
0012FEC4 00019000
0012FEC8 1000AEA8 JiangH_1.1000AEA8
修改堆栈中0012FEBC=00000008
取消以前的断点,在100034C7处下断
100034B5 83E6 F0 and esi,FFFFFFF0
100034B8 56 push esi
100034B9 6A 00 push 0
100034BB FF35 9CC50010 push dword ptr ds:[1000C59C]
100034C1 FF15 6C900010 call dword ptr ds:[1000906C] ; ntdll.RtlAllocateHeap
100034C7 5F pop edi
//RtlAllocateHeap后中断这里
100034C8 5E pop esi
100034C9 C3 retn
Shift+F9,EAX=011526D4,可以看到[011526D4]处都已经填充00了。
取消所有断点,继续F7走,看看哪里检测
10001F37 8B56 0C mov edx,dword ptr ds:[esi+C]
10001F3A 8D4C24 08 lea ecx,dword ptr ss:[esp+8]
10001F3E 52 push edx
10001F3F E8 8C050000 call 100024D0
10001F44 8B4E 0C mov ecx,dword ptr ds:[esi+C]
10001F47 6A 00 push 0
10001F49 6A 01 push 1
10001F4B 51 push ecx
10001F4C FFD0 call eax ;011004DB
//进入
10001F4E 8B56 0C mov edx,dword ptr ds:[esi+C]
10001F51 68 78A00010 push 1000A078 ; ASCII "BS_New_Proc"
10001F56 52 push edx
10001F57 8D4C24 10 lea ecx,dword ptr ss:[esp+10]
10001F5B E8 80050000 call 100024E0
进入10001F4C call eax , 就能看见HeapAlloc后门检测了
011404DB 55 push ebp
011404DC 8BEC mov ebp,esp
011404DE 53 push ebx
011404DF 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
011404E2 56 push esi
011404E3 8B75 0C mov esi,dword ptr ss:[ebp+C]
011404E6 57 push edi
011404E7 8B7D 10 mov edi,dword ptr ss:[ebp+10]
011404EA 85F6 test esi,esi
011404EC 75 09 jnz short 011404F7
011404EE 833D E40F1501 0>cmp dword ptr ds:[1150FE4],0
011404F5 EB 26 jmp short 0114051D
011404F7 83FE 01 cmp esi,1
011404FA 74 05 je short 01140501
011404FC 83FE 02 cmp esi,2
011404FF 75 22 jnz short 01140523
01140501 A1 D4261501 mov eax,dword ptr ds:[11526D4]
//检测[11526D4]是否为00000000
01140506 85C0 test eax,eax
01140508 74 09 je short 01140513
0114050A 57 push edi
0114050B 56 push esi
0114050C 53 push ebx
0114050D FFD0 call eax
//不为00000000,则运行至此处则异常崩溃
—————————————————————————————————
三、搞定输入表
外挂克星对输入表的处理不敢恭维,至少作者没有考虑效率,使用代码入壳和大量的重复冗余希冀脱壳者止步。
BP LoadLibraryA F9中断
0158FC14 0113EC06 /CALL 到 LoadLibraryA 来自 0113EC00
0158FC18 0158FC5C \FileName = "KERNEL32.dll"
取消断点,返回0113EC06处分析
0113EB68 8B4424 30 mov eax,dword ptr ss:[esp+30]
0113EB6C C74424 20 00000>mov dword ptr ss:[esp+20],0
0113EB74 85C0 test eax,eax
0113EB76 0F8E 05020000 jle 0113ED81
//输入表处理完毕则跳转,在0113ED81处下断 ★
0113EB7C EB 0B jmp short 0113EB89
0113EB7E 8B9C24 44020000 mov ebx,dword ptr ss:[esp+244]
0113EB85 8B7C24 34 mov edi,dword ptr ss:[esp+34]
0113EB89 8B85 0C010000 mov eax,dword ptr ss:[ebp+10C]
0113EB8F 8B4C24 20 mov ecx,dword ptr ss:[esp+20]
0113EB93 50 push eax
0113EB94 8D45 0C lea eax,dword ptr ss:[ebp+C]
0113EB97 50 push eax
0113EB98 57 push edi
0113EB99 56 push esi
0113EB9A 53 push ebx
0113EB9B 51 push ecx
0113EB9C 8BCD mov ecx,ebp
0113EB9E E8 BD020000 call 0113EE60
0113EBA3 85C0 test eax,eax
0113EBA5 0F8C EE010000 jl 0113ED99
0113EBAB 56 push esi
0113EBAC 8BCD mov ecx,ebp
0113EBAE E8 6D020000 call 0113EE20
0113EBB3 56 push esi
0113EBB4 8BCD mov ecx,ebp
0113EBB6 894424 2C mov dword ptr ss:[esp+2C],eax
0113EBBA E8 71020000 call 0113EE30
0113EBBF 8BD8 mov ebx,eax
0113EBC1 83C3 64 add ebx,64
0113EBC4 53 push ebx
0113EBC5 895C24 40 mov dword ptr ss:[esp+40],ebx
0113EBC9 E8 CB120000 call 0113FE99
0113EBCE 8BF8 mov edi,eax
0113EBD0 83C4 04 add esp,4
0113EBD3 85FF test edi,edi
0113EBD5 897C24 38 mov dword ptr ss:[esp+38],edi
0113EBD9 0F84 DA010000 je 0113EDB9
0113EBDF 8D5424 40 lea edx,dword ptr ss:[esp+40]
0113EBE3 68 00010000 push 100
0113EBE8 52 push edx
0113EBE9 56 push esi
0113EBEA 6A 00 push 0
0113EBEC 8BCD mov ecx,ebp
0113EBEE E8 5D040000 call 0113F050
0113EBF3 85C0 test eax,eax
0113EBF5 0F8C F4010000 jl 0113EDEF
0113EBFB 8D4424 40 lea eax,dword ptr ss:[esp+40]
0113EBFF 50 push eax
0113EC00 FF15 94611401 call dword ptr ds:[1146194] ; kernel32.LoadLibraryA
0113EC06 85C0 test eax,eax
————————————————————————
在00401000段“设置内存写入断点”。F9运行,中断后取消断点
0113F18C C606 E9 mov byte ptr ds:[esi],0E9
//中断在这里,我们要在这里Patch,否则壳会把输入表搞的乱七八糟
//修改为:jmp 114607D ★ 跳到Patch代码处
0113F18F 2BC6 sub eax,esi
0113F191 83C0 FB add eax,-5
0113F194 8946 01 mov dword ptr ds:[esi+1],eax
0113F197 8B5424 14 mov edx,dword ptr ss:[esp+14]
0113F19B 8B4424 20 mov eax,dword ptr ss:[esp+20]
0113F19F 3D 2D8B0000 cmp eax,8B2D
0113F1A4 893A mov dword ptr ds:[edx],edi
0113F1A6 0F8F 9C000000 jg 0113F248
0113F1AC 0F84 86000000 je 0113F238
0113F1B2 3D 158B0000 cmp eax,8B15
0113F1B7 7F 68 jg short 0113F221
0113F1B9 74 38 je short 0113F1F3
0113F1BB 3D A1000000 cmp eax,0A1
0113F1C0 74 1B je short 0113F1DD
0113F1C2 3D 0D8B0000 cmp eax,8B0D
0113F1C7 0F85 D9000000 jnz 0113F2A6
0113F1CD 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F1D1 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F1D4 C601 8B mov byte ptr ds:[ecx],8B
0113F1D7 C641 01 0D mov byte ptr ds:[ecx+1],0D
0113F1DB EB 24 jmp short 0113F201
0113F1DD 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F1E1 8D46 05 lea eax,dword ptr ds:[esi+5]
0113F1E4 C601 A1 mov byte ptr ds:[ecx],0A1
0113F1E7 8B5424 14 mov edx,dword ptr ss:[esp+14]
0113F1EB 8951 01 mov dword ptr ds:[ecx+1],edx
0113F1EE 83C1 05 add ecx,5
0113F1F1 EB 18 jmp short 0113F20B
0113F1F3 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F1F7 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F1FA C601 8B mov byte ptr ds:[ecx],8B
0113F1FD C641 01 15 mov byte ptr ds:[ecx+1],15
0113F201 8B5424 14 mov edx,dword ptr ss:[esp+14]
0113F205 8951 02 mov dword ptr ds:[ecx+2],edx
0113F208 83C1 06 add ecx,6
0113F20B 2BC1 sub eax,ecx
0113F20D C601 E9 mov byte ptr ds:[ecx],0E9
0113F210 83E8 05 sub eax,5
0113F213 5F pop edi
0113F214 8941 01 mov dword ptr ds:[ecx+1],eax
0113F217 5E pop esi
0113F218 33C0 xor eax,eax
0113F21A 5B pop ebx
0113F21B 83C4 10 add esp,10
0113F21E C2 0C00 retn 0C
0113F221 3D 1D8B0000 cmp eax,8B1D
0113F226 75 7E jnz short 0113F2A6
0113F228 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F22C 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F22F C601 8B mov byte ptr ds:[ecx],8B
0113F232 C641 01 1D mov byte ptr ds:[ecx+1],1D
0113F236 EB C9 jmp short 0113F201
0113F238 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F23C 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F23F C601 8B mov byte ptr ds:[ecx],8B
0113F242 C641 01 2D mov byte ptr ds:[ecx+1],2D
0113F246 EB B9 jmp short 0113F201
0113F248 3D 15FF0000 cmp eax,0FF15
0113F24D 7F 3D jg short 0113F28C
0113F24F 74 2C je short 0113F27D
0113F251 2D 358B0000 sub eax,8B35
0113F256 74 15 je short 0113F26D
0113F258 83E8 08 sub eax,8
0113F25B 75 49 jnz short 0113F2A6
0113F25D 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F261 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F264 C601 8B mov byte ptr ds:[ecx],8B
0113F267 C641 01 3D mov byte ptr ds:[ecx+1],3D
0113F26B EB 94 jmp short 0113F201
0113F26D 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F271 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F274 C601 8B mov byte ptr ds:[ecx],8B
0113F277 C641 01 35 mov byte ptr ds:[ecx+1],35
0113F27B EB 84 jmp short 0113F201
0113F27D 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F281 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F284 C601 FF mov byte ptr ds:[ecx],0FF
0113F287 E9 71FFFFFF jmp 0113F1FD
0113F28C 3D 25FF0000 cmp eax,0FF25
0113F291 75 13 jnz short 0113F2A6
0113F293 8B4C24 10 mov ecx,dword ptr ss:[esp+10]
0113F297 8D46 06 lea eax,dword ptr ds:[esi+6]
0113F29A C601 FF mov byte ptr ds:[ecx],0FF
0113F29D C641 01 25 mov byte ptr ds:[ecx+1],25
0113F2A1 E9 5BFFFFFF jmp 0113F201
0113F2A6 5F pop edi
0113F2A7 C743 08 1527000>mov dword ptr ds:[ebx+8],2715
0113F2AE 5E pop esi
0113F2AF 83C8 FF or eax,FFFFFFFF
0113F2B2 5B pop ebx
0113F2B3 83C4 10 add esp,10
0113F2B6 C2 0C00 retn 0C
看上面的输入表处理流程,应该明白为何说和某壳很像了吧?
外挂克星相当于在比泰软件防盗版战士上增加了诸多反调试。
————————————————————————
Patch 处理,避开输入表加密
现在我们要找两个地方:
1、Patch代码存放地址。选择Patch代码存放的地址时候要小心,小心异常,我选择0114607D处
2、跳转表存放地址。这里的地址要保证是程序中不被占用的空白处,我选择放在004E9000处。
0114607D 53 push ebx
0114607E 3E:8B5C24 7C mov ebx,dword ptr ds:[esp+7C]
//[esp+7C]处保存的是处理DLL的基址 ★
01146083 3B1D 00B44E00 cmp ebx,dword ptr ds:[4EB400]
//提前在[4EB400]处写入当前第一次处理DLL的基址 ★
01146089 74 0D je short 01146098
//这样比较前后2次处理的函数是否是同一个DLL的
0114608B 891D 00B44E00 mov dword ptr ds:[4EB400],ebx
01146091 8305 04B44E00 0>add dword ptr ds:[4EB404],4
//提前在[4EB404]处写入准备放跳转地址的地址004E9000 ★
01146098 3B3D 08B44E00 cmp edi,dword ptr ds:[4EB408]
//第一个函数过后在[4EB408]处写入第一个函数的地址,判断函数是否重复
0114609E 74 0D je short 011460AD
011460A0 893D 08B44E00 mov dword ptr ds:[4EB408],edi
011460A6 8305 04B44E00 0>add dword ptr ds:[4EB404],4
011460AD 3E:8B5C24 24 mov ebx,dword ptr ds:[esp+24]
//[esp+24]是壳放置的命令类型代码! ★
011460B2 81FB A1000000 cmp ebx,0A1
//有一个单字节的,所以需要单独提出来
011460B8 74 11 je short 011460CB
011460BA 86FB xchg bl,bh
//前后位调换
011460BC 891E mov dword ptr ds:[esi],ebx
//命令类型写入
011460BE 8B1D 04B44E00 mov ebx,dword ptr ds:[4EB404]
011460C4 893B mov dword ptr ds:[ebx],edi
//正确函数写入 ★
011460C6 895E 02 mov dword ptr ds:[esi+2],ebx
//跳转地址写入 ★
011460C9 EB 0D jmp short 011460D8
011460CB 891E mov dword ptr ds:[esi],ebx
011460CD 8B1D 04B44E00 mov ebx,dword ptr ds:[4EB404]
011460D3 893B mov dword ptr ds:[ebx],edi
011460D5 895E 01 mov dword ptr ds:[esi+1],ebx
011460D8 5B pop ebx
011460D9 E9 B990FFFF jmp 0113F197
//跳回去继续流程
从Ollydbg中“二进制复制”如下:
53 3E 8B 5C 24 7C 3B 1D 00 B4 4E 00 74 0D 89 1D 00 B4 4E 00 83 05 04 B4 4E 00 04 3B 3D 08 B4 4E
00 74 0D 89 3D 08 B4 4E 00 83 05 04 B4 4E 00 04 3E 8B 5C 24 24 81 FB A1 00 00 00 74 11 86 FB 89
1E 8B 1D 04 B4 4E 00 89 3B 89 5E 02 EB 0D 89 1E 8B 1D 04 B4 4E 00 89 3B 89 5E 01 5B E9 B9 90 FF
FF
这样处理后,所有的函数不再重复累赘,可以用ImportRec顺利获取了。
外挂克星主程序的Patch处理一样,也可以取得壳对应表后写代码修复。
—————————————————————————————————
四、飞向光明之颠
Shift+F9,中断在0113ED81处,输入表处理结束。
选择EP处的几个字节,右键->设置内存访问断点。F9运行,中断下来
004EA410 00 15 A4 AE
//此处设置内存访问断点
0113F590 8B4C24 04 mov ecx,dword ptr ss:[esp+4] ; JiangHu.00400000
0113F594 8039 4D cmp byte ptr ds:[ecx],4D
0113F597 74 08 je short 0113F5A1
0113F599 B8 FEFFFFFF mov eax,-2
0113F59E C2 0800 retn 8
0113F5A1 8079 01 5A cmp byte ptr ds:[ecx+1],5A
0113F5A5 74 08 je short 0113F5AF
0113F5A7 B8 FEFFFFFF mov eax,-2
0113F5AC C2 0800 retn 8
0113F5AF 8B41 3C mov eax,dword ptr ds:[ecx+3C]
0113F5B2 03C1 add eax,ecx ; JiangHu.00400000
0113F5B4 8038 50 cmp byte ptr ds:[eax],50
0113F5B7 74 08 je short 0113F5C1
0113F5B9 B8 FEFFFFFF mov eax,-2
0113F5BE C2 0800 retn 8
0113F5C1 8078 01 45 cmp byte ptr ds:[eax+1],45
0113F5C5 74 08 je short 0113F5CF
0113F5C7 B8 FEFFFFFF mov eax,-2
0113F5CC C2 0800 retn 8
//上面几处是检测PE标记信息
0113F5CF 8B40 28 mov eax,dword ptr ds:[eax+28]
0113F5D2 03C1 add eax,ecx ; JiangHu.00400000
0113F5D4 8038 FF cmp byte ptr ds:[eax],0FF
//中断在这里,检测EP第1个字节
0113F5D7 74 1C je short 0113F5F5
0113F5D9 6A 00 push 0
0113F5DB 68 A0021501 push 11502A0 ; ASCII "Error"
0113F5E0 68 A0021501 push 11502A0 ; ASCII "Error"
0113F5E5 6A 00 push 0
0113F5E7 FF15 A0621401 call dword ptr ds:[11462A0] ; USER32.MessageBoxA
0113F5ED B8 FDFFFFFF mov eax,-3
0113F5F2 C2 0800 retn 8
0113F5F5 8078 01 15 cmp byte ptr ds:[eax+1],15
//检测EP第2个字节
0113F5F9 74 1C je short 0113F617
0113F5FB 6A 00 push 0
0113F5FD 68 A0021501 push 11502A0 ; ASCII "Error"
0113F602 68 A0021501 push 11502A0 ; ASCII "Error"
0113F607 6A 00 push 0
0113F609 FF15 A0621401 call dword ptr ds:[11462A0] ; USER32.MessageBoxA
0113F60F B8 FDFFFFFF mov eax,-3
0113F614 C2 0800 retn 8
0113F617 8B5424 08 mov edx,dword ptr ss:[esp+8]
0113F61B 83C0 06 add eax,6
0113F61E 2BC8 sub ecx,eax
0113F620 C600 E9 mov byte ptr ds:[eax],0E9
0113F623 8D4C11 FB lea ecx,dword ptr ds:[ecx+edx-5]
0113F627 8948 01 mov dword ptr ds:[eax+1],ecx
//修改EP处代码
0113F62A 33C0 xor eax,eax
0113F62C C2 0800 retn 8
我们可以在004EA416处设置断点,或者使用Second段内存断点大法去OEP
004EA416 E9 432CFFFF jmp 004DD05E
//飞向光明之颠
004DD05E 55 push ebp
//OEP
004DD05F 8BEC mov ebp,esp
004DD061 6A FF push -1
004DD063 68 08964E00 push 4E9608
004DD068 68 48D54D00 push 4DD548
004DD06D 64:A1 00000000 mov eax,dword ptr fs:[0]
004DD073 50 push eax
004DD074 64:8925 0000000>mov dword ptr fs:[0],esp
004DD07B 83EC 58 sub esp,58
004DD07E 53 push ebx
004DD07F 56 push esi
004DD080 57 push edi
004DD081 8965 E8 mov dword ptr ss:[ebp-18],esp
004DD084 FF15 FC904E00 call dword ptr ds:[4E90FC] ; kernel32.GetVersion
可以用OllyDump插件来dump。如果此时用LordPE,会提示“Couldn't dump module”。这是外挂克星注入Explorer.exe的代码在作怪,Ctrl+Alt+Delete打开任务管理程器,结束Explorer进程,再“新建任务”打开Explorer.exe,此时外挂克星注入的代码已经不存在,可以运行LordPE和ImportRec来正常修复啦。
Game Over
桃李春风一杯酒 江湖夜雨十年灯
—————————————————————————————————
, _/
/| _.-~/ \_ , 青春都一晌
( /~ / \~-._ |\
`\\ _/ \ ~\ ) 忍把浮名
_-~~~-.) )__/;;,. \_ //'
/'_,\ --~ \ ~~~- ,;;\___( (.-~~~-. 换了脱壳轻狂
`~ _( ,_..--\ ( ,;'' / ~-- /._`\
/~~//' /' `~\ ) /--.._, )_ `~
" `~" " `" /~'`\ `\\~~\
" " "~' ""
UnPacKed By : fly
2005-09-24 00:00