[Windows内核]Etw Hook纯C源码

最新推荐文章于 2025-08-01 23:14:56 发布
最新推荐文章于 2025-08-01 23:14:56 发布
阅读量333 收藏
点赞数 3
CC 4.0 BY-SA版权
文章标签: windows c语言 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_54673519/article/details/146886168 
#include <ntifs.h>
#include <wmistr.h>
#include <intrin.h>
#include <ntimage.h>
#define EtwpStartTrace		1
#define EtwpStopTrace		2
#define EtwpQueryTrace		3
#define EtwpUpdateTrace		4
#define EtwpFlushTrace		5
#define EVENT_TRACE_SYSTEM_LOGGER_MODE 0x02000000
#define WNODE_FLAG_TRACED_GUID			0x00020000  
#define EVENT_TRACE_BUFFERING_MODE      0x00000400 
#define EVENT_TRACE_FLAG_SYSTEMCALL     0x00000080  
#define IA32_LSTAR_MSR 0xC0000082

typedef struct _WMI_LOGGER_INFORMATION
{
	WNODE_HEADER Wnode;						// WNODE_HEADER是公开的,这里就不贴上来了
	ULONG BufferSize;
	ULONG MinimumBuffers;
	ULONG MaximumBuffers;
	ULONG MaximumFileSize;
	ULONG LogFileMode;
	ULONG FlushTimer;
	ULONG EnableFlags;
	union
	{
		LONG AgeLimit;
		LONG FlushThreshold;
	};
	ULONG Wow;
	LONG Padding_719;
	union
	{
		PVOID LogFileHandle;
		ULONGLONG LogFileHandle64;
	};
	union
	{
		ULONG NumberOfBuffers;
		ULONG InstanceCount;
	};
	union
	{
		ULONG FreeBuffers;
		ULONG InstanceId;
	};
	union
	{
		ULONG EventsLost;
		ULONG NumberOfProcessors;
	};
	ULONG BuffersWritten;
	union
	{
		ULONG LogBuffersLost;
		ULONG Flags;
	};
	ULONG RealTimeBuffersLost;
	union
	{
		PVOID LoggerThreadId;
		ULONGLONG LoggerThreadId64;
	};
	union
	{
		UNICODE_STRING LogFileName;
		STRING64 LogFileName64;
	};
	union
	{
		UNICODE_STRING LoggerName;
		STRING64 LoggerName64;
	};
	ULONG RealTimeConsumerCount;
	ULONG SpareUlong;
	union
	{
		union
		{
			PVOID LoggerExtension;
			ULONGLONG LoggerExtension64;
		};
	}  DUMMYUNIONNAME10;
} WMI_LOGGER_INFORMATION, * PWMI_LOGGER_INFORMATION;

typedef enum _SYSTEM_INFORMATION_CLASS
{
	SystemModuleInformation = 11
} SYSTEM_INFORMATION_CLASS;

typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY
{
	ULONG Unknow1;
	ULONG Unknow2;
	ULONG Unknow3;
	ULONG Unknow4;
	PVOID Base;
	ULONG Size;
	ULONG Flags;
	USHORT Index;
	USHORT NameLength;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	char ImageName[256];
} SYSTEM_MODULE_INFORMATION_ENTRY, * PSYSTEM_MODULE_INFORMATION_ENTRY;

typedef struct _SYSTEM_MODULE_INFORMATION
{
	ULONG Count;	
	SYSTEM_MODULE_INFORMATION_ENTRY Module[1];
}SYSTEM_MODULE_INFORMATION, * PSYSTEM_MODULE_INFORMATION;

const GUID CkclSessionGuid = { 0x54dea73a, 0xed1f, 0x42a4, { 0xaf, 0x71, 0x3e, 0x63, 0xd0, 0x56, 0xf1, 0x74 } };

const GUID session_guid = { 0x9E814AAD, 0x3204, 0x11D2, { 0x9A, 0x82, 0x0, 0x60, 0x8, 0xA8, 0x69, 0x39 } };

NTSYSCALLAPI
NTSTATUS
NTAPI
ZwTraceControl(
	_In_ ULONG FunctionCode,
	_In_reads_bytes_opt_(InBufferLen) PVOID InBuffer,
	_In_ ULONG InBufferLen,
	_Out_writes_bytes_opt_(OutBufferLen) PVOID OutBuffer,
	_In_ ULONG OutBufferLen,
	_Out_ PULONG ReturnLength
);

NTSYSCALLAPI NTSTATUS
ZwQuerySystemInformation(
	IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
	OUT PVOID SystemInformation,
	IN ULONG SystemInformationLength,
	OUT PULONG ReturnLength OPTIONAL
);

NTSTATUS OpenEtwLogger() {
	ULONG ret;
	PWMI_LOGGER_INFORMATION pWmiLogger = (PWMI_LOGGER_INFORMATION)ExAllocatePool(NonPagedPool , PAGE_SIZE);
	memset(pWmiLogger, 0, PAGE_SIZE); 
	pWmiLogger->BufferSize = sizeof(ULONG);
	pWmiLogger->MaximumBuffers = pWmiLogger->MinimumBuffers = 2;
	pWmiLogger->Wnode.ClientContext = 3;
	pWmiLogger->Wnode.Guid = CkclSessionGuid;
	pWmiLogger->Wnode.BufferSize = PAGE_SIZE;
	pWmiLogger->Wnode.Flags = WNODE_FLAG_TRACED_GUID;
	pWmiLogger->LogFileMode = EVENT_TRACE_BUFFERING_MODE;
	RtlInitUnicodeString(&pWmiLogger->LoggerName , L"Circular Kernel Context Logger");

	NTSTATUS status = ZwTraceControl(EtwpStartTrace, pWmiLogger , PAGE_SIZE , pWmiLogger , PAGE_SIZE , &ret);

	pWmiLogger->EnableFlags = EVENT_TRACE_FLAG_SYSTEMCALL;
	status = ZwTraceControl(EtwpUpdateTrace, pWmiLogger, PAGE_SIZE, pWmiLogger, PAGE_SIZE, &ret);
	if (!NT_SUCCESS(status)) {
		DbgPrint("Etw打开失败\n");
		return status;
	}
	DbgPrint("Open Etw Success->%d\n",status);

	return STATUS_SUCCESS;
}

NTSTATUS EndEtwLogger() {
	ULONG ret;
	PWMI_LOGGER_INFORMATION pWmiLogger = (PWMI_LOGGER_INFORMATION)ExAllocatePool(NonPagedPool, PAGE_SIZE);
	memset(pWmiLogger, 0, PAGE_SIZE);
	pWmiLogger->BufferSize = sizeof(ULONG);
	pWmiLogger->MaximumBuffers = pWmiLogger->MinimumBuffers = 2;
	pWmiLogger->Wnode.ClientContext = 3;
	pWmiLogger->Wnode.Guid = CkclSessionGuid;
	pWmiLogger->Wnode.BufferSize = PAGE_SIZE;
	pWmiLogger->Wnode.Flags = WNODE_FLAG_TRACED_GUID;
	pWmiLogger->LogFileMode = EVENT_TRACE_BUFFERING_MODE;
	RtlInitUnicodeString(&pWmiLogger->LoggerName, L"Circular Kernel Context Logger");

	NTSTATUS status = ZwTraceControl(EtwpStopTrace, pWmiLogger, PAGE_SIZE, pWmiLogger, PAGE_SIZE, &ret);
	if (!NT_SUCCESS(status)) {
		DbgPrint("Etw关闭失败\n");
		return status;
	}
	DbgPrint("End Etw Success->%d\n", status);

	return status;
}

ULONG64 GetKernelBase(PULONG dwSize) {
	ULONG ret;
	PSYSTEM_MODULE_INFORMATION pSystemInfo = (PSYSTEM_MODULE_INFORMATION)ExAllocatePool(NonPagedPool, 1024 * 1024);
	if (pSystemInfo == NULL) {
		return 0;
	}
	NTSTATUS status = ZwQuerySystemInformation(SystemModuleInformation, pSystemInfo, 1024 * 1024, &ret);
	if (!NT_SUCCESS(status)) {
		DbgPrint("模块查询失败\n");
		return 0;
	}
	for (ULONG dwCount = 0; dwCount < pSystemInfo->Count; dwCount++) {
		if (!strcmp(pSystemInfo->Module[dwCount].ImageName + pSystemInfo->Module[dwCount].ModuleNameOffset, "ntoskrnl.exe")) {
			*dwSize = pSystemInfo->Module[dwCount].Size;
			return (ULONG64)(pSystemInfo->Module[dwCount].Base);
		}
	}
	return 0;
}

//0x2c, 0x08, 0x04, 0x38, 0x0c 
ULONG64 GetEtwpDebuggerDataAddr() {
	ULONG dwSize;
	ULONG64 NtoskrnlBase = GetKernelBase(&dwSize);
	if (!NtoskrnlBase || !dwSize) {
		DbgPrint("模块查询失败\n");
		return 0;
	}
	ULONG64 StartAddress;
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)NtoskrnlBase;
	PIMAGE_NT_HEADERS64 pNtHeader = (PIMAGE_NT_HEADERS64)((ULONG64)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNtHeader);
	for (ULONG i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++) {
		if (!strcmp(pSection[i].Name , ".data")) {
			StartAddress = pSection[i].VirtualAddress + (ULONG64)pDosHeader;
			for (ULONG64 Addr = StartAddress; Addr < StartAddress + pSection[i].Misc.VirtualSize; Addr++) {
				if (MmIsAddressValid(Addr)) {
					if (*(PUCHAR)(Addr) == 0x2C && *(PUCHAR)(Addr + 0x1) == 0x08 && *(PUCHAR)(Addr + 0x2) == 0x04 && *(PUCHAR)(Addr + 0x3) == 0x38 && *(PUCHAR)(Addr + 0x4) == 0x0C) {
						DbgPrint("EtwpDebuggerDataAddr->%p\n" ,Addr-0x2);
						return Addr - 0x2;
					}
				}
			}
		}
	}
	return 0;
}

NTSTATUS detour_NtCreateFile(
	_Out_ PHANDLE FileHandle,
	_In_ ACCESS_MASK DesiredAccess,
	_In_ POBJECT_ATTRIBUTES ObjectAttributes,
	_Out_ PIO_STATUS_BLOCK IoStatusBlock,
	_In_opt_ PLARGE_INTEGER AllocationSize,
	_In_ ULONG FileAttributes,
	_In_ ULONG ShareAccess,
	_In_ ULONG CreateDisposition,
	_In_ ULONG CreateOptions,
	_In_reads_bytes_opt_(EaLength) PVOID EaBuffer,
	_In_ ULONG EaLength) {
	DbgPrint("NtCreateFile 已被接管\n");
	return NtCreateFile(FileHandle, DesiredAccess, ObjectAttributes, IoStatusBlock, AllocationSize, FileAttributes, ShareAccess, CreateDisposition, CreateOptions, EaBuffer, EaLength);
}

ULONG64 FakeGetCpuClock() {
	if (ExGetPreviousMode() == KernelMode) {
		return __rdtsc();
	}
	UNICODE_STRING TargetFuncName = RTL_CONSTANT_STRING(L"NtCreateFile");
	ULONG64 TargetFuncAddr = (ULONG64)MmGetSystemRoutineAddress(&TargetFuncName);
	ULONG64 SysCallAddr = (ULONG64)__readmsr(IA32_LSTAR_MSR);
	PULONG64 Stack_Top = (PULONG64)__readgsqword(0x1A8);
	PULONG64 Cut_Stack = (PULONG64)_AddressOfReturnAddress();
	ULONG magic_1 = 0x501802ul;
	USHORT magic = 0xf33ul;
	USHORT Stack_GetMagic;
	ULONG Stack_GetMagic_1;
	for (; Cut_Stack < Stack_Top; Cut_Stack++) {
		Stack_GetMagic = *(PUSHORT)Cut_Stack;
		if (Stack_GetMagic != magic) {
			continue;
		}
		Cut_Stack++;
		Stack_GetMagic_1 = *(PULONG)Cut_Stack;
		if (Stack_GetMagic_1 != magic_1) {
			continue;
		}
		for (; Cut_Stack < Stack_Top; Cut_Stack++) {
			if (*Cut_Stack >= (ULONG64)PAGE_ALIGN(SysCallAddr) && *Cut_Stack <= (ULONG64)PAGE_ALIGN(SysCallAddr + PAGE_SIZE * 2)) {
				PVOID* SysCallTarget = (PVOID*)&Cut_Stack[0x9];
				if ((ULONG64)*SysCallTarget == TargetFuncAddr) {
					*SysCallTarget = detour_NtCreateFile;
				}
				break;
			}
		}
		break;
	}
	return __rdtsc();
}

/*nt!_WMI_LOGGER_CONTEXT
   +0x000 LoggerId         : 2
   +0x004 BufferSize       : 0x1000
   +0x008 MaximumEventSize : 0xfb8
   +0x00c LoggerMode       : 0x2800480
   +0x010 AcceptNewEvents  : 0n0
   +0x014 EventMarker      : [2] 0xc0130000
   +0x01c ErrorMarker      : 0xc00d0000
   +0x020 SizeMask         : 0xffff
   +0x028 GetCpuClock      : 0xfffff807`8033d450     int64  nt!EtwpGetCycleCount+0
   +0x030 LoggerThread     : (null) 
*/

BOOLEAN HookEtwGetCpuClock() {
	ULONG64 EtwpDebuggerDataAdd = GetEtwpDebuggerDataAddr();
	ULONG64 EtwpDebuggerDataSilo = *(PULONG64)(EtwpDebuggerDataAdd + 0x10);
	ULONG64 CkclWmiLoggerContext = *(PULONG64)(EtwpDebuggerDataSilo + 0x10);
	DbgPrint("CkclWmiLoggerContext Addr->%p\n" , CkclWmiLoggerContext);
	PULONG64 GetCpuClockAddr = (PULONG64)(CkclWmiLoggerContext+0x28);
	*GetCpuClockAddr = (ULONG64)FakeGetCpuClock;
	return TRUE;
}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject) {
	EndEtwLogger();
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject , PUNICODE_STRING Reg_Path) {
	pDriverObject->DriverUnload = DriverUnload;
	OpenEtwLogger();
	HookEtwGetCpuClock();
	return STATUS_SUCCESS;
}

在win10 1901测试下效果

Windows ETW 入门 【Windows系统编程】
CaTianRi的博客
12-29 1790
ETW,全称 Event Trace For Windows,是微软在Windows中提供的一种高效事件记录机制。简单来讲,可以把它看成一个大型日志系统,能够从程序、内核驱动收集各种运行信息。ETW的特性:轻量化:ETW在运行时对系统性能的影响微乎其微,因此可以安全地用于生产环境。实时性:你可以实时捕获和分析事件,而不需要重启系统或应用。灵活性:支持自定义事件,开发者可以根据需要定义自己的事件并收集数据。ETW的主要用途:ETW可以捕获系统和应用程序的性能指标,从而做到优化程序的运行效率。
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2423
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
ETW HOOK[InfinityHook]技术解析
qq_45844442的博客
01-16 977
ETW是操作系统为了对系统调用、异常等信息做了一个日志操作,本质就是在进行调用这些中断、异常、系统调用时会走向这个代码函数区域日志保存的功能。而ETW HOOK就是在驱动层微软的PatchGuard并未对其做到很好的检测,以致于可以通过patch某些函数达到HOOK的目的,再加上系统调用、异常、上下文切换等都会经过这个,故功能也十分强大。
ETW HOOK原理探析
qq_41252520的博客
11-11 2317
关于ETW是什么我就不多说了,可以通过微软的相关文档了解到。据网上得知这项技术最早被披露于2345的驱动中,一位工程师将其代码逆向还原之后大白于天下。随后各大安全厂商相继使用这种技术实现监控系统调用、内存页错误等。它是一个相对于VT来说更稳定,更简单的系统监控方式。调用ZwTraceControlZwTraceControl启用ETW日志(Win8只有NtTraceControlNtTraceControl。
ETW的攻与防
hongduilanjun的博客
09-14 3312
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
【亲测免费】 探索创新:Windows 11兼容版ETW Hook技术揭秘与应用
gitblog_00069的博客
06-13 747
探索创新:Windows 11兼容版ETW Hook技术揭秘与应用 1、项目介绍 ETW HOOK是一种独特的系统级调试技巧,利用Windows操作系统中ETW(Event Tracing for Windows)功能的漏洞,来实现对系统调用的无痕拦截和控制。这一项目旨在提供一种能够兼容最新Windows 11系统的高效且稳定的ETW Hook实现,使得开发者能够在不影响系统性能的同时,深入洞察系...
ETW Hook
lh18813221462的博客
05-01 119
【代码】ETW Hook
腾讯 IEG 游戏安全面经:挑战与成长
m0_57836225的博客
09-14 1502
腾讯作为一家知名的互联网公司,其游戏安全岗位备受关注。本文将结合多位求职者的面经,详细分析腾讯 IEG 游戏安全面试的过程、问题及应对策略,希望能为广大求职者提供有价值的参考。
wtrace:Windows的命令行跟踪工具,基于ETW
04-01
它可以在Windows 8.1+上运行,并且需要.NET 4.7.2+。 Wtrace只是一个可执行文件wtrace.exe,您可以从下载它。 可用的选项在下面列出。 请检查以了解有关它们的详细信息和一些用法示例。 Usage: wtrace [OPTIONS] ...
windows 内核驱动通过哪些方式直接访问硬件
zhangyihu321的专栏
08-14 1644
windows 内核 硬件访问
php编译好的evalhook文件~
01-04
CTF/php后门分析中经常遇到加密压缩过的PHP文件, <? $O00OO0=urldecode("n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("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")); ?> 编译环境 ===================================================================== PHP : /usr/bin/php7.2 PHP_SAPI : cli PHP_VERSION : 7.2.9-1 ZEND_VERSION: 3.2.0 PHP_OS : Linux - Linux kali 4.14.0-kali3-amd64 #1 SMP Debian 4.14.17-1kali1 (2018-02-16) x86_64 INI actual : /root/temp/evalhook/tmp-php.ini More .INIs : CWD : /root/temp/evalhook Extra dirs : VALGRIND : Not used ===================================================================== TIME START 2019-01-04 07:46:12 ===================================================================== php -d extension=evalhook.so encoded_script.php 可直接dump大部分加密php文件中eval中的内容
EtwTools:用于Windows事件跟踪(ETW)的API
03-29
Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种高效、低开销的系统级日志记录机制,广泛应用于诊断、性能分析和监控。EtwTools是一个专门针对ETW的API,它允许开发者以编程方式与ETW交互,创建、管理...
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1280
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hookHook api 实现隐藏参数...
『网络安全科普』Windows安全之HOOK技术机制
Galaxy_0的博客
12-29 3777
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 1061
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过Sysmon和ETW的通用方法,我们对其进行了跟踪研究。4月8日,...
隐藏的宝藏:ETW的入侵检测(第1部分)
weixin_34269583的博客
09-19 456
本文讲的是隐藏的宝藏:ETW的入侵检测(第1部分),现如今防御者所面临的信息不对称问题已经越来越凸显,特别是随着内存中的攻击和有针对性的恶意软件的出现,防御者已经不能仅仅依靠Windows默认提供的事件日志来进行防御了,因为攻击者可能会使用进程空当来将其代码隐藏在一个看似良性的进程中,并切Command&Control流量通过DNS路由保持隐藏。 在通...
如何利用ETW(Event Tracing for Windows)记录日志
weixin_34326429的博客
09-14 1102
ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。 一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provider)和消费者(ETW Consumer),ET...
memset 线程安全_恶意.NET安全攻防(一):使用ETW隐藏你的.NET
weixin_35748962的博客
12-19 361
前言随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其中的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库中的一部分,负责为其提供“动力”的框架,通常会是Cobalt S...
Spring之【循环引用】
最新发布
weixin_43945238的博客
08-01 1928
介绍Spring中的循环引用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值