2017-2018-2 20155314《網絡對抗技術》Exp4 惡意代碼分析

時間 2019-12-06

原文原文鏈接

2017-2018-2 20155314《網絡對抗技術》Exp4 惡意代碼分析

實驗要求

監控你本身系統的運行狀態，看有沒有可疑的程序在運行。php

分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。html

假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。linux

返回目錄算法

實驗內容

系統運行監控（2分）

使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。shell

惡意軟件分析（1.5分）vim
分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件：

讀取、添加、刪除了哪些註冊表項

讀取、添加、刪除了哪些文件

鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

該實驗重點在「分析」，不是「如何使用某軟件」。組長、課題負責人要求寫細一點，其餘人能夠重點放在分析上。windows

返回目錄後端

實驗環境

macOS下Parallels Desktop虛擬機中（網絡源均設置爲NAT模式）：
- Windows 7 - 64bit（IP爲10.211.55.13）
- Kali Linux - 64bit（IP爲10.211.55.10）

返回目錄瀏覽器

基礎問題回答

若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控？
- 利用sysmon工具，配置好想要監控的端口、註冊表信息、網絡鏈接等信息，經過其生成的日誌文件進行查看
- 利用wireshark查看數據包，TCPview也能夠，可是沒那麼全面
- 利用systracer進行快照，比照註冊表、文件等信息
- 利用Process monitor、Process Explorer
若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息？
- 一樣採用以上工具，用wireshark查看數據包，systracer進行快照的對比（註冊表、文件等），peid查看是否加殼，Process Explorer查看調用的程序庫、dll庫等

返回目錄安全

預備知識

惡意代碼(Unwanted Code)：是指沒有做用卻會帶來危險的代碼，一個最安全的定義是把全部沒必要要的代碼都看做是惡意的，沒必要要代碼比惡意代碼具備更寬泛的含義，包括全部可能與某個組織安全策略相沖突的軟件
惡意代碼分析
- 靜態分析基礎技術
  - 計算惡意程序MD5值，而後檢索該MD5值來獲取信息並做爲其特徵碼使用（可以使用md5deep winmd5）
  - 經過檢索惡意代碼字符串得到相應的功能調用解釋等，查看是否有被加殼處理（字符串檢索:Strings 外殼檢測:PEiD）
  - PE文件頭中包含代碼信息，惡意代應用程序類型等重要信息。可經過工具檢索其動態連接庫（dll），而後再MSDN文檔庫中查找其功能。(Dependency Walker、 PEview、 PEBrowse Professional、PE Explorer)
  - 查看可疑代碼的的資源節來得到一部分可見的特徵(Resource Hacker)
- 動態分析基礎技術
  - 配置「沙箱」環境，模擬真實執行結果(各類沙箱)
  - Dll類型文件的啓動運行（PEview、PE Exporer）
  - 用一些系統監視類軟件捕獲運行中惡意程序的系統調用（process monitor、process explorer）

返回目錄

實驗步驟

1 靜態分析

1.1 使用virscan進行特徵庫比對

在virscan.org網站上分析Exp3中經過upx加殼生成的後門：

可見有7/40（上次實驗掃描結果仍是7/39）的殺軟認定其爲病毒文件
點擊掃描結果右邊的【文件行爲分析】查看詳細分析結果：
- 在「殼或編譯器信息」一欄可見其被upx加殼：
- 在「關鍵行爲」一欄查看其行爲描述爲「設置特殊文件夾屬性」：
- 在「進程行爲」一欄查看其行爲描述爲「建立本地線程」：
- 在「文件行爲」一欄查看其行爲描述爲「設置特殊文件夾屬性」和「查找文件」：
- 在「網絡行爲」一欄查看其行爲描述爲「鏈接指定站點」、「創建到一個指定的套接字鏈接」、「發送HTTP包」、「讀取網絡文件」和「打開HTTP請求」：
- 在「註冊表行爲」一欄查看其行爲描述爲「修改註冊表」、「刪除註冊表鍵值」和「刪除註冊表鍵」：
- 在「其餘行爲」一欄查看其行爲描述爲「打開互斥體」、「建立互斥體」、「建立事件對象」和「打開事件」：
惡意代碼分析：
- 加殼
- 建立鏈接
- 修改註冊表
- 檢測自身的調試狀況

返回目錄

1.2 使用PEiD進行外殼檢測

PEiD(PE Identifier)是一款著名的查殼工具，其功能強大，幾乎能夠偵測出全部的殼，其數量已超過470種PE文檔的加殼類型和簽名。

掃描模式
- 正常掃描模式：可在PE文檔的入口點掃描全部記錄的簽名
- 深度掃描模式：可深刻掃描全部記錄的簽名，這種模式要比上一種的掃描範圍更廣、更深刻
- 核心掃描模式：可完整地掃描整個PE文檔，建議將此模式做爲最後的選擇。PEiD內置有差錯控制的技術，因此通常能確保掃描結果的準確性。前兩種掃描模式幾乎在瞬間就可獲得結果，最後一種有點慢，緣由顯而易見。

命令選項
- peid -time：顯示信息
- peid -r：掃描子目錄
- peid -nr：不掃描子目錄
- peid -hard：採用核心掃描模式
- peid -deep：採用深度掃描模式
- peid -norm：採用正常掃描模式

主要模塊
- 任務查看模塊：能夠掃描並查看當前正在運行的全部任務和模塊，並可終止其運行
- 多文件掃描模塊：可同時掃描多個文檔。選擇「只顯示PE文件」能夠過濾非PE文檔；選擇「遞歸掃描」可掃描全部文檔，包括子目錄
- Hex十六進制查看模塊：能夠以十六進制快速查看文檔

PEiD v0.94下載地址：exe,dll偵殼工具 PEiD v0.94 20060510 漢化集成插件版
下完解壓打開.exe文件發現是安裝包：

???woc流氓軟件!!居然要捆綁安裝這麼多....
安裝完畢，打開PEiD，界面以下（實踐代表win7對於本來只能在XP上運行的PEiD仍是具備較好的兼容性的）：
選擇.exe文件路徑或者乾脆直接把.exe文件拖到裏面便可：

從上面咱們能夠看到軟件加的UPX的殼，版本是0.89.6。點擊>>按鈕還能夠查看詳細信息：
換一個用Hyperion加過密的殼試試？

什麼也沒發現！！成功便騙過去了！！！
點擊「多重掃描」還能夠更改掃描方式（雖然對加密過的殼並無什麼用）：
咱們最經常使用到的功能有：
1. 查看入口點（即程序的入口地址）。查入口點的軟件有不少，幾乎全部的PE編輯軟件均可以查看入口點。
2. 查看軟件加的什麼殼。這個軟件加的是UPX 0.89.6
PEiD插件應用：
最經常使用的插件就是脫殼。PEiD的插件裏面有個通用脫殼器，能脫大部分的殼，若是脫殼後import表損害，還能夠自動調用ImportREC修復improt表。
- 點擊「=>」打開插件列表：
- 還能夠專門針對一些殼進行脫殼，效果要比通用脫殼器好：
- 使用unpacker for upx插件進行脫殼。默認的脫殼後的文件放置位置在peid的根目錄下。文件名爲原文件名前加un字樣。
  
  什麼...居然失敗了...

返回目錄

1.3 使用PE explorer查看PE文件頭中包含代碼信息

PE Explorer是功能超強的可視化Delphi、C++、VB程序解析器，能快速對32位可執行程序進行反編譯，並修改其中資源。

優勢：功能極爲強大的可視化漢化集成工具，可直接瀏覽、修改軟件資源，包括菜單、對話框、字符串表等；另外，還具有有W32DASM軟件的反編譯能力和PEditor軟件的PE文件頭編輯功能，能夠更容易的分析源代碼，修復損壞了的資源，能夠處理PE格式的文件如：EXE、DLL、DRV、BPL、DPL、SYS、CPL、OCX、SCR等32位可執行程序。該軟件支持插件，你能夠經過增長插件增強該軟件的功能，原公司在該工具中捆綁了UPX的脫殼插件、掃描器和反彙編器，很是好用。

缺點：惟一遺憾的是欠缺字典功能。

功能：
- 出口，進口，延遲導入
- 資源編輯器
- 節頭的瀏覽器
- 段編輯器
- 反彙編
- 依賴掃描器

PE Explorer綠色版下載地址：PE Explorer綠色版（可視化集成工具） 1.99 R6
安裝完成界面以下：

點擊左上角圖標打開上次實驗生成的後門文件5314.exe（也能夠直接將其拖到界面中間）：
查看程序頭部信息（默認界面）：
查看程序靜態數據目錄：
查看程序結頭信息：
進行反彙編：
點擊「導入」查看其引用的dll庫：
- KERNEL32.dll：控制着系統的內存管理、數據的輸入輸出操做和中斷處理。雖然涉及內核，可是運行程序所必須的，正常。
- msvcrt.dll：微軟編譯軟件的函數庫。正常。
- USER32.dll：Windows用戶界面相關應用程序接口，用於包括Windows處理，基本用戶界面等特性，如建立窗口和發送消息。是一個對系統很關鍵或很可疑的文件，易遭受木馬病毒破壞致使系統找不到此文件，出現錯誤提示框。
- WSOCK32.dll：Windows Sockets應用程序接口，用於支持不少Internet和網絡應用程序。是一個對系統很關鍵或很可疑的文件，易遭受木馬病毒（如「犇牛」病毒）破壞致使系統找不到此文件，出現錯誤提示框。
  
  犇牛病毒介紹：
  
  2009年春節剛過，一款名爲「犇牛」的惡性木馬下載器開始大肆做惡。來自360安全中心的數據顯示，已有數十萬臺電腦受到「犇牛」襲擊，並能致使大部分安全軟件失效，用重裝系統等常規手段沒法清理。
  
  據大批受害用戶反映，感染「犇牛」的電腦速度會明顯變慢，出現虛擬內存不足提示，非系統盤的根目錄及全部文件夾目錄中同時出現「usp10.dll」或「wsock32.dll」文件。部分用戶的電腦感染「犇牛」後還會出現彈出大量廣告網頁、殺毒軟件遭強制卸載、「QQ醫生」顯示爲「叉號」沒法正常使用等各類症狀，並會自動下載大量木馬病毒（包含「赤兔馬」、「老A」、「LY」以及「鐵血」等多個知名盜號木馬，覆蓋了近20款當前最熱門的網絡遊戲和QQ工具，對用戶的危害極大）。受害用戶除非將全部硬盤分區全盤格式化，不然即使重裝系統後「犇牛」仍能踏蹄重來。
  
  360安全專家石曉虹博士介紹：「犇牛」木馬下載器之因此成爲牛年首「牛」的木馬，是因其擁有「系統重裝復活」、「系統文件掩護」以及「逆向卸載殺軟」等三大「牛」招，能令大部分安全軟件失效，從而危害性大大提高。
  
  據石曉虹博士介紹，「犇牛」使用了劫持dll文件的方式，在全部非系統盤的文件夾目錄內釋放「usp10.dll」文件，很多用戶發現電腦「中招」後習慣性地進行重裝，卻由於這些文件未被徹底清除而再度感染；同時，「犇牛」很是陰險地將某個系統文件悄悄替換，使大部分殺毒軟件經常使用的查殺手段失效，進一步加強了其自我保護能力；此外，「犇牛」還使用了一個名爲「安軟殺手」的幫兇對主流殺軟進行卸載和破壞，屏蔽安全廠商的網站，並能致使迅雷等下載軟件失效，導致受害用戶沒法訪問安全網站或下載安全軟件。
  
  經過以上三大「牛招」，「犇牛」得以突破用戶電腦防護體系，並經過進一步下載針對誅仙、魔獸世界、問道等十餘款熱門網遊、QQ以及網上銀行的盜號木馬，完成對受害用戶電腦中虛擬財富的盜竊。

返回目錄

1.4 使用Dependency Walker查看其依賴性、導入與導出模塊

Dependency Walker是一款Microsoft Visual C++ 中提供的很是有用的PE模塊依賴性分析工具，軟件大小295KB。

功能：
- 查看PE模塊的導入模塊
- 查看PE模塊的導入和導出函數
- 動態剖析PE模塊的模塊依賴性
- 解析 C++ 函數名稱

下載地址：Download Version 2.2.6000 for x86 (Windows 95 / 98 / Me / NT / 2000 / XP / 2003 / Vista / 7 / 8) [610k]
下完發現不用安裝直接能運行該軟件，該軟件對win7系統仍然具備較好的兼容性。一樣左上角打開後門程序5314.exe：
發現Dependency Walker對dll文件對分析很是的詳細：

返回目錄

2 動態分析

2.1 使用SysTracer分析後門軟件的運行過程

SysTracer是一款能夠分析計算機文件，文件夾和註冊表項目改變的系統實用工具。你能夠在任何想要的時間獲取無數個屏幕快照。你能夠比較任何一對想要的屏幕快照，而且觀察其間的不一樣之處。獲取屏幕快照一般會持續幾分鐘的時間，這取決於文件和文件夾的數量和註冊表項目的總數。該軟件特別推出一個很是高效的分析算法，比較兩張屏幕快照能夠瞬間完成。

下載地址：SysTracer(64bit)官方下載
界面以下，點擊【建立快照】：
給快照取名，使用默認設置，點擊【肯定】開始建立第1個快照Snapshot20155314 #1：
建立過程長短視當前系統體量而定，以下圖win7系統（未打開後門程序）快照建立完成共用了3分52秒：
Kali攻擊機啓動Meterpreter進行攻擊，同時win7打開上次實驗生成的後門程序5314.exe進行回連，並建立第2個快照Snapshot20155314 #2：
Kali攻擊機輸入ls命令後，win7建立第3個快照Snapshot20155314 #3：
Kali攻擊機輸入screenshot命令抓屏，win7建立第4個快照Snapshot20155314 #4：
點擊【快照比較】將快照之間進行比較，點擊【註冊表】選項卡可發現註冊表上的變化：
<img src="https://images2018.cnblogs.com/blog/1071508/201804/1071508-20180418183718866-52668722.png width="100%" />
以下圖，藍色字體爲變化項：
爲了方便對比差別，咱們將「查看模式」選擇爲「僅差別」，並將樹型目錄逐層展開：

能夠很明顯地看出該後門獲取了shell！！
點擊【應用程序】可發現後門程序5314.exe對不少.dll文件都進行了修改！

返回目錄

2.2 使用wireshark對流量進行抓包分析

Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，並儘量顯示出最爲詳細的網絡封包資料。Wireshark使用WinPCAP做爲接口，直接與網卡進行數據報文交換。

網絡封包分析軟件的功能可想像成 "電工技師使用電錶來量測電流、電壓、電阻" 的工做 - 只是將場景移植到網絡上，並將電線替換成網絡線。在過去，網絡封包分析軟件是很是昂貴的，或是專門屬於盈利用的軟件。

Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者能夠以避免費的代價取得軟件與其源代碼，並擁有針對其源代碼修改及客製化的權利。Ethereal是目前全世界最普遍的網絡封包分析軟件之一。

打開Wireshark.exe，選擇本地鏈接接口，點擊左上角藍色鯊魚按鈕開始抓包：

抓到的都是一些本地鏈接的數據包，如第三個黃色的包是此win7虛擬機向廣播地址發送的廣播包～
Kali攻擊機打開監控，win7打開後門程序5314.exe進行回連，此時Wireshark上捕獲到了巨大的流量：

如圖可見，出現了大量TCP三次握手過程～
Kali攻擊機輸入ls命令，又出現了大量的TCP鏈接：
Kali攻擊機輸入screenshot命令，一樣出現了大量的TCP鏈接（詞窮）：

因爲抓包時Kali攻擊機一直處於鏈接win7的狀態，所以並無捕獲到TCP四次揮手取消鏈接到過程～
在查看包的過程當中發現了一個可疑的三次握手，Wireshark提示This frame is a suspected retransmission即該鏈接可能爲一個非法的鏈接，最恐怖的是目的IP顯示爲一個陌生的IP183.232.103.218！
查詢IP地址顯示爲深圳市？！震驚！！因爲該抓包實驗是在關閉殺軟（騰訊電腦管家）下進行的，細思極恐！！

返回目錄

2.3 使用PEbrowse Pro對程序進行斷點動態調試

返回目錄

2.4 使用Sysmon惡意網絡鏈接和操做

System Monitor(sysmon)是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系統服務和設備驅動程序的方法安裝在系統上，並保持常駐性。sysmon用來監視和記錄系統活動，並記錄到windows事件日誌，能夠提供有關進程建立，網絡連接和文件建立時間更改的詳細信息。以後再結合WindowsEvent Collection或SIEM進行分析，能夠識別網絡上的異常入侵或運行的惡意軟件。

特色：用完整的命令行記錄下子進程和父進程的建立行爲。使用sha1（默認），MD5，SHA256或IMPHASH記錄進程鏡像文件的hash值。能夠同時使用多個hash，包括進程建立過程當中的進程GUID。每一個事件中包含session的GUID。
1. 記錄驅動程序或者加載的DLL鏡像的簽名及其hash
2. 記錄磁盤和卷的原始數據的讀取請求
3. 記錄網絡鏈接，包括每一個鏈接的源進程，IP地址，端口號，主機名和端口名（可選）
4. 若是更改註冊表則自動從新加載配置
5. 具備規則過濾，以便動態包括或排除某些事件
6. 在加載進程的初期生成事件，能記錄在複雜的內核模式運行的惡意軟件

下載地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon
一鍵安裝命令（須要以管理員身份運行cmd）：
sysmon -accepteula -i -n
用sysmon -c命令查看配置：

編寫配置文件config20155314.xml：

<Sysmon schemaversion="3.20">      
<!-- Capture all hashes -->      
    <HashAlgorithms>*</HashAlgorithms>      
<EventFiltering>        
<!-- Log all drivers except if the signature -->       
<!-- contains Microsoft or Windows -->       
<DriverLoad onmatch="exclude">          
    <Signature condition="contains">microsoft</Signature>         
    <Signature condition="contains">windows</Signature>        
</DriverLoad>       
<!-- Do not log process termination -->        
<ProcessTerminate onmatch="include" />       
<!-- Log network connection if the destination port equal 443 -->        
<!-- or 80, and process isn't InternetExplorer -->        
<NetworkConnect onmatch="include">          
    <DestinationPort>443</DestinationPort>          
    <DestinationPort>80</DestinationPort>
    <DestinationPort>5314</DestinationPort>        
</NetworkConnect>        
<NetworkConnect onmatch="exclude">          
    <Image condition="end with">iexplore.exe</Image>       
</NetworkConnect>
<CreateRemoteThread onmatch="include">
    <TargetImage condition="end with">explorer.exe</TargetImage>
    <TargetImage condition="end with">svchost.exe</TargetImage>
    <TargetImage condition="end with">winlogon.exe</TargetImage>
    <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>     
</EventFiltering>    
</Sysmon>

用sysmon -c config20155314.xml命令指定配置文件：

報錯提示版本不匹配，只需將<Sysmon schemaversion="3.20">改爲<Sysmon schemaversion="4.00">便可：
從新輸入sysmon -c config20155314.xml命令，配置完成：
輸入Sysmon.exe -i命令啓動sysmon：
打開【開始】菜單，搜索【事件查看器】並打開，在左側控制檯樹按照【事件查看器】->【應用程序和服務日誌】->【Microsoft】->【Windows】依次展開，找到【Sysmon】下的【Operational】並雙擊打開：
打開5314.exe後門，Kali攻擊機用meterpreter回連，能夠看到鏈接的詳細信息，包括ip、端口、pid等：
Kali攻擊機執行migrate操做，將後門進程遷移到iexplore中：
發現該操做會被記錄到Process terminated中：

返回目錄

2.5 使用Windows計劃任務schtasks指令監控系統運行

以管理員身份打開cmd，使用指令schtasks /create /TN 20155314_netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog20155314.txt建立計劃任務20155314_netstat，記錄每1分鐘計算機聯網狀況：
用cd指令進入C盤根目錄
用指令type nul>netstatlog20155314.txt建立一個名爲netstatlog20155314.txt的空文本文件
用指令gvim netstatlog20155314.txt打開此文本文件（須要下載gvim文本編輯器）並按i輸入如下內容，而後保存：
date /t >> c:\ netstatlog20155314.txt time /t >> c:\ netstatlog20155314.txt netstat -bn >> c:\ netstatlog20155314.txt
修改其後綴名爲.bat（須要提供管理員權限）並右鍵選擇以管理員身份運行：
再次輸入指令type nul>netstatlog20155314.txt在C盤下建立一個名爲netstatlog20155314.txt的空文本文件用於保存記錄
這時，打開計劃任務查看剛剛新建的任務20155314_netstat，右鍵屬性勾選使用最高權限運行，而後選擇運行：
已經成功運行：
因而每隔一分鐘數據會被輸出到設定好的netstatlog20155314.txt文檔中：

返回目錄

實驗中遇到的問題及解決過程

win7安裝wireshark提示沒有一個能夠抓包的接口

問題分析

這是因爲win7默認NPF服務是關閉的，須要以管理員的身份開啓這個服務

Windows7上安裝wireshark時，會遇到NPF驅動沒法啓動的狀況，通常若是採用管理員的方式就能夠正常啓動，或者是將NPF安裝爲service的方式，這樣問題就OK了

解決方案

以管理員的方式進行啓動NPF驅動：
- 開始->附件->cmd(右鍵點擊，瀏覽到以管理員方式啓動)：
- 輸入命令net start npf啓動NetGroup Packet Filter Driver服務：
Wireshark中點擊【捕獲】選項卡，選擇【刷新接口列表】，下方接口列表出現本地鏈接接口：
點擊本地鏈接接口便可開始愉悅的抓包之旅～

返回目錄

實驗總結與體會

比殺軟好用。咱們在具有了必定的知識基礎和分析能力後，必定會有這樣的感受，上次實驗生成的後門已經成功完成免殺騙過絕大多數知名殺軟，但此次實驗中它們仍然騙不過某些惡意代碼分析工具的眼睛👀，這就間接說明了殺軟在這些工具面前幾乎是useless。然而，爲何殺軟可以成爲大多數Windows用戶的必備品而不是這些分析工具呢？道理很簡單，對於這些工具普通用戶大多不會用、看不懂、嫌麻煩，反倒以爲它們useless了。可見，殺軟和分析工具的區別在於，殺軟強調一鍵式服務的用戶體驗，即便對於某些特定的後門是一籌莫展的，但它服務的是大多數受衆；而真正的信息安全人員關心的是信息系統的總體安全防禦，不能讓任何一個攻擊、任何一個威脅甚至任何一個可疑的鏈接成爲可能，毫無疑問會選擇惡意代碼分析工具以及他們的綜合使用。所以結合上次實驗，從技術角度上說，咱們信息安全專業的學生應掌握這些分析工具的原理及其應用，而不是仍然依賴於殺軟。
返回目錄