如果不想使用现成的 TLS ，那就只能自己在 socket 上实现一遍 TLS 了。

对于 C 来说，任何未指定的空间里所存放的东西都是未知的。
不能理所当然的认为，未经过初始化的空间值都是 0 。即使有些情况下可能值确实是 0 ，也不能理所当然的这样认为。
数组这个东西在传递的时候是传递的首地址，函数内没办法 100%准确的确定数组有多长。
典型例子是 C 风格的字符数组。
char sz[] = "test"
char sz1[2] = {'t','e'}
当 strdup 这样的函数对 sz 进行拷贝的时候，是以 test 后面的 0 值作为结尾标志终止拷贝的。 C 当中约定字符串以 0 结尾，通过字符串常量编译器会自动给字符串末尾加上 0 ，所以 sizeof(sz)得到的结果是 5 而不是 4 。
sz1 则不同， sz1 的末尾并没有以 0 结尾，如果对 sz1 使用 strdup ，或者 strcpy 这样的函数就会出现明显的问题。 strcpy 会试图拷贝 sz1 后面的一些空间直到某一个这些空间中出现 0 值为止，至于 sz1 后面的空间什么时候会遇见 0 ，这种事情是没办法确定的。
所以数组的处理过程中，要不然就得约定一个数组末尾的标记，要不然就必须清楚的知道数组的长度。

@Aliencn 说实话，我用兼容刷头并没有感觉和原装的有什么不同，经常更换新的就行了。

淘宝兼容刷头的路过。

@qzy168
官网有详细说明， http://hk.cmbchina.com/Personal/Detail.aspx?guid=911aad09-0367-4868-9b44-f89ff7a3bf30

“香港一卡通”賬戶長期不使用的，是否還能繼續使用？若卡內沒有資金，是否會自動銷戶？
答：“香港一卡通”客戶若連續兩年內沒有任何主動交易，則會自動轉為凍結狀態，成為“睡眠戶”，該類賬戶不允許進行出款交易（具體以香港分行實際規定為准）。客戶若需要重新恢復該賬戶的使用，則需要聯繫我行客戶服務熱線並填妥有關表格提交給香港分行審批。
若客戶戶口內沒有資金結餘，但每月收取賬戶管理費時無足額資金可扣，則未扣款成功的交易將會於一卡通系統內記錄“欠費”，該欠費情況亦可於對賬單以及網上銀行上查詢；若客戶賬戶持續保持欠費超過 90 天，香港分行會向客戶發出催收信，若我行發出催收信後 30 日內賬戶仍然處於欠費狀態的，則我行將會對客戶做關戶處理且不再另行通知。若已欠費客戶主動發起銷戶，需先行繳納所欠款項。

不用互相转账， 1 年无网银转账只是会被暂停网银交易额度。暂停额度之后 1 个月内，直接登陆网银恢复额度就可以了。

@hahaDashen
这个就是洋葱死的原因之一，没有找到合理的商业模式。洋葱一样开发了用于集成登录的 API ，甚至对 wordpress 这样的产品有一键集成的包提供，可是没有人用。因为无论是站长还是企业，没有必要做这些工作，而产品本身绑不住用户或者用户根本不知道有这样的产品，没有一边来支持的话很难推广开。
建议你烧钱之前，做一些市场调研之类的工作，以免产生亏损。

站在用户的角度。
我想大多数人是意识不到隐私是需要保护这件事的，不然就不会轮到电视台天天宣传。大多数人没有这种意识。如果是面对小众化的人群，比如说程序员一类的，可能做 lasspass 这样的密码管理器服务会更加有前途一些。与其先尝试绑定商业公司，也许先尝试绑定用户会更好一些，有用户才有让人集成验证的资本。（当然，这只是我个人的一点建议）

@hahaDashen
这个商业套路有个问题，如果网站需要什么信息为什么不让用户自己填上而用你们的接入？
如果你觉得使用你们的服务特点是安全，方便，那么就有下面更进一步的问题
你们倒掉了怎么办？应该没有一个商业产品能够接受积累的用户信息一夜之间没了。如果开发者需要自己保存一套信息，类似绑定的形式，那么为什么不适用 QQ 登陆这样现成有用户基数的产品而用你们的产品？

和以前的洋葱(yangcong.com)是一个套路，然而现在洋葱已死。

用域名邮箱吧，托管到靠谱的地方或者自建都可以的

可以实现的，一块网卡也可以，应该是只要 iptables 就足够了。

重装，恢复数据，升级最新版 wordpress ，做好安全防护措施。以上。

你首先得明白 marbles + SIZE 是个什么东西。
marbles 是个数组，当成地址用的时候是指向首地址，也就是指向元素 marbles[0].
marbles 一共有 10 个元素，所以最后一个元素是 marbles[9]，用指针表示也就是 marbles+9.
本例中 SIZE 是 10 ， marbles+10 是一个未知的空间，里面是什么东西是完全未知的，典型的内存访问越界。

ASLR 是一项很重要的防御手段没错，但是并不是 ASLR 是万能的，不能包治百病。
大概看了一下，这攻击并不是让 ASLR 失效，而是绕过 ASLR 的保护找到内存地址。能绕过 ASLR 保护的手段不是刚刚才发明出来，只能说这种攻击手段提出了一种新的方法，降低了攻击 ASLR 保护的难度.
其实这个问题可能没那么恐怖，攻击本身是使用了 CPU 的一些特性，浏览器作为解释器是可以做一些处理阻止这些攻击的。对于本地应用来说可能没办法阻止已经被执行的代码使用这些 CPU 特性，但是本地应用大多数不具备像浏览器引擎一样高度自由的运行一些指令的条件，这问题没有想象的那么恐怖。

@winterbells 弹窗不弹窗是由调 CreateProcess 的进程决定的，想确保不弹窗提示那只能 HOOK 掉该进程对 MessageBox 的调用（当然，如果程序自己绘制的弹窗那还是拦不住的）。

@visonme 在驱动层面上，考虑目前主流的都是 X64 ， SSDT HOOK 相对比较麻烦，一般来说设置回调就足够了，安全性并没有太大的问题，而且相对比较易用稳定。

如果只是想阻止特定程序运行，那么 NTFS 取消那个文件的执行权限即可，系统内置功能。
不要求强度的话，楼主可以自己写个驱动完成这个事情，用 PsSetCreateProcessNotifyRoutineEx 安装一个回调函数就行了。