youstar

博客准备改版~

1050709009@qq.com(admin) — Mon,30 Aug 2010 17:06:48 +0800

想从pj转为WP，感觉PJ的收录不是很好，PJ4一直都没出来，不想期待了。虽然现在PR=3，有点不忍，甚至面临网站暂时被封，但是一直以来就有这个想法，想改变下。
同时希望有能力的朋友可以给提供个免费空间，非常感谢~

灵格斯去广告补丁下载

1050709009@qq.com(admin) — Tue,10 Aug 2010 21:58:36 +0800

     原来一直在用灵格斯，但是后来把软件启动一段时间后就会出现一个广告页面，感觉十分不爽，前几天把金山词霸下载下来安装起，但是感觉不习惯，就想找灵格斯去广告补丁，网上找了很多都不能用，后来找到一款针对2.7.1的版本的，但是目前的最新版本是2.7.2。下载下来测试成功。先放一个在这，方便自己也方便他人。
   程序加壳：UPX
    运行后会自动检测安装目录，选择你需要去掉的广告就OK。
   版本：2.7.1&&2.7.2
    去广告原理：貌似是把原来的Update文件夹直接删除，然后新建一个Update的文件，无后缀的。
    下载：立即下载

美DHS发布: 网际安全研究路线图

1050709009@qq.com(admin) — Wed,04 Aug 2010 23:58:12 +0800

From:SoWhat

A Roadmap for Cybersecurity Research

Scalable trustworthy systems (including system architectures and requisite development methodology)
Enterprise-level metrics (including measures of overall system trustworthiness)
System evaluation life cycle (including approaches for sufficient assurance)
Combating insider threats
Combating malware and botnets
Global-scale identity management
Survivability of time-critical systems
Situational understanding and attack attribution
Provenance (relating to information, systems, and hardware)
Privacy-aware security
Usable security
报告全文：http://www.cyber.st.dhs.gov/docs/DHS-Cybersecurity-Roadmap.pdf

个人建议：
可以看看国外正在研究那些方向，那些可以值得参考的东西。

浅谈MD5加密算法中的加盐值(SALT)

1050709009@qq.com(admin) — Wed,04 Aug 2010 15:25:08 +0800

文章作者：bre4k
文章备注：http://www.bre4k.org/technology/281

您是否遇见过破解不了的MD5值？你是否遇见过‘奇形怪状’的hash？这些非常有可能就是带有salt（俗称加盐值），本文将为大家简单的介绍关于加盐值的一些信息。

0×01. 什么是加盐值?
为了加强MD5的安全性（本身是不可逆的），从而加入了新的算法部分即加盐值，加盐值是随机生成的一组字符串，可以包括随机的大小写字母、数字、字符，位数可以根据要求而不一样，使用不同的加盐值产生的最终密文是不一样的。

0×02. 代码中如何使用加盐值?
由于使用加盐值以后的密码相当的安全，即便是你获得了其中的salt和最终密文，破解也是一个耗费相当多时间的过程，可以说是破解单纯MD5的好几倍，那么使用加盐值以后的密文是如何产生的呢？
1).首先我们得到的是明文的hash值
2).进行计算获取MD5明文hash值
3).随机生成加盐值并插入
4).MD5插入加盐值得到的hash
5).得到最终的密文

0×03. 如何破解出带有加盐值的密文
因为像windows hash（未进行syskey加密）、非加盐值MD5等都可以通过大型的密码（如彩虹表）表进行对比解密，所以相对而言相当的轻松，而带有加盐值的密文就相对而言复杂的多，现在的MD5表大概是260+G，如何加盐值的可能性有10000个，那么密码表的应该是MD5 size*10000，就可以解密出原MD5表能够解密的密码了，一些网站也提供了对应的salt解密，但是测试以后效果并不是非常好，如常规的admin888也未解密出，实在是遗憾，毕竟MD5本是不可逆的，带入随机值解密出最终密码的可能性就更低了，至少是相对大多数人而言的。

0×04. 含加盐值MD5算法的应用
目前多家的网站程序公司都已经加入了该算法，如常见的VBB论坛、discuz论坛等都采用了，甚至著名的Linux开源操作系统早已经加入了这种加密模式。可得而知，这种算法势必会在未来应用于更多的范围。

*0×05. 如何渗透带有加盐值的站点(实际案例)？
这一段信息是来源于我近日实际渗透的片段，由于通过多种途径无法解密带有加盐值的密文，所以只能通过其他方式进行突破，本欲修改管理员密码来进行操作，但站点是通过多个网站对比密码的形式，如站A和站B，我如果修改站A的密码，一旦对比站A和站B，那么将会提示无法登陆，因为我只拥有一个站的管理权限，那么这样就非常的麻烦了，一是密文无法破解，二是修改密码无效。那么我们应该如何处理呢？这里简述下本人在这里应用的方法：
1).修改admin uid为没有启用的某值
2).将自己的注册用户修改为admin uid的值
重新登陆，并成功获取权限，因为在站A中式依据uid来分配权限的，也就是给某uid管理员权限，如此而言轻松获取到管理员权限。

egg hunter深入研究与总结

1050709009@qq.com(admin) — Thu,22 Jul 2010 19:34:53 +0800

      原来一直对egg hunter有所了解，但是基本上都是表面上的，感觉看懂了，实际上还是不懂原理的，最近抽了点时间仔细研究了下这个技术。nologin的经典的egghunt-shellcode.pdf的教程，感觉nologin出品的很多专题都讲的很好，在此推荐下。本文是自己总结的一点，可能存在很多错误的地方，望指教。
原理：
       egg hunter实际上就是在缓冲区溢出中有时候我们可以利用字节数被限制了，不能达到我们想要的目的，但是可以把shellcode放到其它的地方，于是就需要在这小的字节中布置我们的代码来查找存在其它地方可以执行的shellcode。
分类：
      根据使用不同的原理可以分为以下几种方式：
1、SHE
     通过安装一个自定义的异常处理程序，一个egg hunter可以捕获并忽略访问异常，当他们在搜寻内存区域的期间。
     优点：通用性比较好
     缺点：safe seh的限制、在搜索期间发生其它的异常就无法处理了。
2、IsBadReadPtr
     IsBadReadPtr自己会安装异常处理结构体，同时判断指向的字节是否可以被读取，如果指向的内存不能被读取，就会返回成功，否则返回失败，并且指针被假设是合法的，指向的地址可以执行。
     优点：它的使用一个简单的API函数来判断地址是否可以访问，
     缺点：需要IsBadReadPtr函数的确切地址，即通用性不是很好。
3、NtDisplayString
    我们之所以能使用该函数用于执行安全内存空间搜索的主要原因是：该函数从唯一的一个参数中读取数据并且没有写操作。如果函数参数指向的地址不可读，那么函数将返回内存访问异常（0xc000000005）的错误代码。
     优点：速度最快，占用字节数最少，鲁棒性最好的方法
     缺点：0x43一直没有改变，支持所有系统除了window9x。
4、NtAddAtom
     Dave/Alex在邮件列表和Twitter上分别谈到了用NtAddAtom来实现搜索shellcode的方法，而且该系统调用在NT以上的系统的调用号都是一致的(0x08)。
     对这个返回地址的0xc0000033还真不能确定。
总结：相对而言，最后一种方法是最好的~
ps:编程能力很挫，有些东西搞不定
参考文献：
http://hi.baidu.com/int3/blog/item/32fe34af160c60f0faed506f.html
http://hi.baidu.com/lisl03/blog/item/860b1782900f7db96d811957.html
http://www.nologin.org/

一些涉世忠告

1050709009@qq.com(admin) — Sun,18 Jul 2010 17:54:25 +0800

From:Patrick's Blog
感觉这个比较有用，自己很缺乏这方面的能力，以后要多学习。
原文：
如何在涉世之初少走弯路，有一个好的开端，开始一番成功的事业？以下是一些先行者积累的10条有益的涉世忠告。好好地遵循、把握这些忠告和建议吧，比起所学的课堂课程来，它毫不逊色！
　　
　　1.买个闹钟，以便按时叫醒你。
　　
　　自贪睡和不守时，都将成为你工作和事业上的绊脚石，任何时候都一样。不仅要学会准时，更要学会提前。就如你坐车去某地，沿途的风景很美，你忍不住下车看一看，后来虽然你还是赶到了某地，却不是准时到达。“闹钟”只是一种简单的标志和提示，真正灵活、实用的时间，掌握在每个人的心中。
　　
　　2.如果你不喜欢现在的工作，要么辞职不干，要么就闭嘴不言。
　　
　　初出茅庐，往往眼高手低，心高气傲，大事做不了，小事不愿做。不要养成挑三拣四的习惯。不要雨天烦打伞，不带伞又怕淋雨，处处表现出不满的情绪。记住，不做则已，要做就要做好。
　　
　　3.每个人都有孤独的时候。
　　
　　要学会忍受孤独，这样才会成熟起来。年轻人嘻嘻哈哈、打打闹闹惯了，到了一个陌生的环境，面对形形色色的人和事，一下子不知所措起来，有时连一个可以倾心说话的地方也没有。这时，千万别浮躁，学会静心，学会忍受孤独。在孤独中思考，在思考中成熟，在成熟中升华。不要因为寂寞而乱了方寸，而去做无聊无益的事情，白白浪费了宝贵的时间。
　　
　　4.走运时要做好倒霉的准备。
　　
　　有一天，一只狐狸走到一个葡萄园外，看见里面水灵灵的葡萄垂涎欲滴。可是外面有栅栏挡着，无法进去。于是它一狠心绝食三日，减肥之后，终于钻进葡萄园内饱餐一顿。当它心满意足地想离开葡萄园时，发觉自己吃得太饱，怎么也钻不出栅栏了。相信任何人都不愿做这样的狐狸。退路同样重要。饱带干粮，晴带雨伞，点滴积累，水到渠成。有的东西今天似乎一文不值，但有朝一日也许就会身价百倍。
　　
　　5.不要像玻璃那样脆弱。
　　
　　有的人眼睛总盯着自己，所以长不高看不远；总是喜欢怨天尤人，也使别人无比厌烦。没有苦中苦，哪来甜中甜？不要像玻璃那样脆弱，而应像水晶一样透明，太阳一样辉煌，腊梅一样坚强。既然睁开眼睛享受风的清凉，就不要埋怨风中细小的沙粒。
　　
　　6.管住自己的嘴巴。
　　
　　不要谈论自己，更不要议论别人。谈论自己往往会自大虚伪，在名不副实中失去自己。议论别人往往陷入鸡毛蒜皮的是非口舌中纠缠不清。每天下班后和你的那些同事朋友喝酒聊天可不是件好事，因为，这中间往往会把议论同事、朋友当做话题。背后议论人总是不好的，尤其是议论别人的短处，这些会降低你的人格。
　　
　　7.机会从不会“失掉”，你失掉了，自有别人会得到。
　　
　　不要凡事在天，守株待兔，更不要寄希望于“机会”。机会只不过是相对于充分准备而又善于创造机会的人而言的。也许，你正为失去一个机会而懊悔、埋怨的时候，机会正被你对面那个同样的“倒霉鬼”给抓住了。没有机会，就要创造机会，有了机会，就要巧妙地抓住。
　　
　　8.若电话老是不响，你该打出去。
　　
　　很多时候，电话会给你带来意想不到的收获，它不是花瓶，仅仅成为一种摆设。交了新朋友，别忘了老朋友，朋友多了路好走。交际的一大诀窍就是主动。好的人缘好的口碑，往往助你的事业更上一个台阶。
　　
　　9.千万不要因为自己已经到了结婚年龄而草率结婚。
　　
　　想结婚，就要找一个能和你心心相印、相辅相携的伴侣。不要因为放纵和游戏而恋爱，不要因为恋爱而影响工作和事业，更不要因一桩草率而失败的婚姻而使人生受阻。感情用事往往会因小失大。
　　
　　10.写出你一生要做的事情，把单子放在皮夹里，经常拿出来看。
　　
　　人生要有目标，要有计划，要有提醒，要有紧迫感。一个又一个小目标串起来，就成了你一生的大目标。生活富足了，环境改善了，不要忘了皮夹里那张看似薄薄的单子。

Python tools for penetration testers

1050709009@qq.com(admin) — Sat,17 Jul 2010 16:04:00 +0800

From:http://dirk-loss.de/python-tools.htm
If you are involved in vulnerability research, reverse engineering or penetration testing, I suggest to try out the Python programming language. It has a rich set of useful libraries and programs. This page lists some of them.

Most of the listed tools are written in Python, others are just Python bindings for existing C libraries, i.e. they make those libraries easily usable from Python programs.

Some of the more aggressive tools (pentest frameworks, bluetooth smashers, web application vulnerability scanners, war-dialers, etc.) are left out, because the legal situation of these tools is still a bit unclear in Germany -- even after the decision of the highest court. This list is clearly meant to help whitehats, and for now I prefer to err on the safe side.
Network

    * Scapy: send, sniff and dissect and forge network packets. Usable interactively or as a library
    * pypcap, Pcapy and pylibpcap: several different Python bindings for libpcap
    * libdnet: low-level networking routines, including interface lookup and Ethernet frame transmission
    * dpkt: fast, simple packet creation/parsing, with definitions for the basic TCP/IP protocols
    * Impacket: craft and decode network packets. Includes support for higher-level protocols such as NMB and SMB
    * pynids: libnids wrapper offering sniffing, IP defragmentation, TCP stream reassembly and port scan detection
    * Dirtbags py-pcap: read pcap files without libpcap
    * flowgrep: grep through packet payloads using regular expressions
    * httplib2: comprehensive HTTP client library that supports many features left out of other HTTP libraries

Debugging and reverse engineering

    * Paimei: reverse engineering framework, includes PyDBG, PIDA, pGRAPH
    * Immunity Debugger: scriptable GUI and command line debugger
    * IDAPython: IDA Pro plugin that integrates the Python programming language, allowing scripts to run in IDA Pro
    * PyEMU: fully scriptable IA-32 emulator, useful for malware analysis
    * pefile: read and work with Portable Executable (aka PE) files
    * pydasm: Python interface to the libdasm x86 disassembling library
    * PyDbgEng: Python wrapper for the Microsoft Windows Debugging Engine
    * uhooker: intercept calls to API calls inside DLLs, and also arbitrary addresses within the executable file in memory
    * diStorm64: disassembler library for AMD64, licensed under the BSD license
    * python-ptrace: debugger using ptrace (Linux, BSD and Darwin system call to trace processes) written in Python

Fuzzing

    * Sulley: fuzzer development and fuzz testing framework consisting of multiple extensible components
    * Peach Fuzzing Platform: extensible fuzzing framework for generation and mutation based fuzzing
    * antiparser: fuzz testing and fault injection API
    * TAOF, including ProxyFuzz, a man-in-the-middle non-deterministic network fuzzer
    * untidy: general purpose XML fuzzer
    * Powerfuzzer: highly automated and fully customizable web fuzzer (HTTP protocol based application fuzzer)
    * FileP: file fuzzer. Generates mutated files from a list of source files and feeds them to an external program in batches
    * SMUDGE
    * Mistress: probe file formats on the fly and protocols with malformed data, based on pre-defined patterns
    * Fuzzbox: multi-codec media fuzzer
    * Forensic Fuzzing Tools: generate fuzzed files, fuzzed file systems, and file systems containing fuzzed files in order to test the robustness of forensics tools and examination systems
    * Windows IPC Fuzzing Tools: tools used to fuzz applications that use Windows Interprocess Communication mechanisms
    * WSBang: perform automated security testing of SOAP based web services
    * Construct: library for parsing and building of data structures (binary or textual). Define your data structures in a declarative manner
    * fuzzer.py (feliam): simple fuzzer by Felipe Andres anzano

Web

    * ProxMon: processes proxy logs and reports discovered issues
    * WSMap: find web service endpoints and discovery files
    * Twill: browse the Web from a command-line interface. Supports automated Web testing
    * Windmill: web testing tool designed to let you painlessly automate and debug your web application
    * FunkLoad: functional and load web tester

Forensics

    * Volatility: extract digital artifacts from volatile memory (RAM) samples
    * SandMan: read the hibernation file, regardless of Windows version
    * LibForensics: library for developing digital forensics applications
    * TrIDLib, identify file types from their binary signatures. Now includes Python binding

Malware analysis

    * pyew: command line hexadecimal editor and disassembler, mainly to analyze malware
    * Didier Stevens' PDF tools: analyse, identify and create PDF files (includes PDFiD, pdf-parser and make-pdf and mPDF)
    * origapy: Python wrapper for the origami Ruby module which sanitizes PDF files
    * Exefilter: filter file formats in e-mails, web pages or files. Detects many common file formats and can remove active content
    * pyClamAV: add virus detection capabilities to your Python software

Misc

    * InlineEgg: toolbox of classes for writing small assembly programs in Python
    * Exomind: framework for building decorated graphs and developing open-source intelligence modules and ideas, centered on social network services, search engines and instant messaging
    * RevHosts: enumerate virtual hosts for a given IP address
    * simplejson: JSON encoder/decoder, e.g. to use Google's AJAX API

Other useful libraries and tools

    * IPython: enhanced interactive Python shell with many features for object introspection, system shell access, and its own special command system
    * Beautiful Soup: HTML parser optimized for screen-scraping
    * matplotlib: make 2D plots of arrays
    * Mayavi: 3D scientific data visualization and plotting
    * RTGraph3D: create dynamic graphs in 3D
    * Twisted: event-driven networking engine
    * Suds: lightweight SOAP client for consuming Web Services
    * M2Crypto: most complete OpenSSL wrapper
    * NetworkX: graph library (edges, nodes)
    * pyparsing: general parsing module
    * lxml: most feature-rich and easy-to-use library for working with XML and HTML in the Python language
    * Pexpect: control and automate other programs, similar to Don Libes `Expect` system
    * Sikuli, visual technology to search and automate GUIs using screenshots. Scriptable in Jython

security cookie在栈保护上的研究

1050709009@qq.com(admin) — Sat,10 Jul 2010 10:57:03 +0800

by flyingkisser
这里主要讨论栈，不是堆。
首先，security cookie并不是windows系统自带的保护机制，并不是说一个确实存在溢出漏洞的
程序，放到带security cookie保护的环境中，就不能正常溢出了。
那么，到底是什么是security cookie呢？
我觉得从广义上讲，它应该是一种保护栈的机制，提供这种保护的，是程序本身，编译进程序本身的
代码提供的，而不是系统中某个运行在黑暗角落中的线程。
所以，既然是程序自身就带上的，为了不给程序员带来额外的负担，这份工作就交给编译器来完成了。
vc6.0的cl.exe是不带这个功能的，只有vc.net以后面版本的cl.exe才带这个功能，就所谓的/GS选项。
即用vc.net的cl编译器时，/GS选项默认就打开了。
现在，我们知道了这个机制的提供方，那么，这个机制到底是怎么一回事呢？
熟悉函数调用及返回前后的汇编指令的人肯定很清楚，在win32平台，对于stdcall类型的函数调用，
当call指令运行完毕，当前的堆栈结构基本上是这样的：

局变2  ebp-8   低地址
局变1  ebp- 4
ebp  ebp
返回地址 ebp+4
参数1  ebp+8
参数2  ebp+c
参数3  ebp+10
参数4  ebp+14   高地址

第一列是堆栈中存放的dword的内容，第二列是用ebp作为栈地址的索引时，它对应的应该用ebp表示的值，
说得形象一点，ebp中存放着栈的一个地址(栈其实也是一片内存，ebp只是指向其中一个对当前函数内部比较
重要的地址，其实是相当重要)，栈的其它位置都是通过这个ebp来寻址的，即我们给函数的第一个形参的
地址，就是ebp+8,第二个就是ebp+c,我们定义的局部变量的地址，第一个局部变量是ebp-4,第二局部变量的
地址就是ebp-8，依此类推。但这也不是一定的，上面说的是理想情况，如果我们在函数里定了一个数组，
如 char buf[8];并且是定义的第一个局部变量，那么它的地址肯定就不是ebp-4,还是ebp-8。所以，数组
比较特殊，结构体也比较特殊，其根本原因是栈是从高地址向低地址生长的，而我们的数组，结构体，
却是从低向高地址生长的，两者矛盾的结果就是寻址上的微妙变化。
当然，这里为了方便说明问题，都默认定义的变量，传入的参数，都是四字节对齐的，并且一个变量一个
双字。你可以把数组理解一个4字节的char,也就是一个双字了。
话说回来，当call运行完毕，当前的堆栈结构已经给出，如果在函数里调用strcpy()往局部变量1 里考入
东西，对长度没有进行检测，那么ebp-4,ebp,ebp+4,还有后面的地址，其所在的内容都会被覆盖掉。这里
溢出就发生了，我们控制住了ret的返回地址，然后...
嗯，为了防止这一切，新的cl编译器的/GS选项加上入所谓的"security cookie"，如何加入的？在哪加入的
呢？
先看看加入"security cookie"后的call指令运行完以后，堆栈的变化。

局变2  ebp-c   低地址
局变1  ebp-8
XXXXX  ebp-4
ebp  ebp
返回地址 ebp+4
参数1  ebp+8
参数2  ebp+c
参数3  ebp+10
参数4  ebp+14   高地址

变化很明显，在ebp上面，第一个局部变量的下面，填入的一个新的值，这个值就是所谓的"security cookie"
.按照前面说的溢出过程，ebp- 4的内容被覆盖掉，即security cookie的值被修改，在函数返回，即执行ret
指令前，会call另一个函数，这个函数就是用来对比 ebp-4的值和当时push到栈中的值是不是一样，不一样的
话，就说明溢出了，然后进程被终止。
那么，你大概会产生以下几个问题：
1. 这个security cookie是如何计算出来的？
security cookie是一个双字，也可以说是一个int,其本身是保存在全局变量里的，其创建是编译器在编译
阶段就创建的，然后写入到.data段里，即在PE里就保存了这个值。
但这个值又是变化的，windows装载器完成必要的前期准备工作后(如创建进程，为栈分配内存，等待)
把 EIP设置为PE里的代码入口处，第一个执行的指令就是一个call调用，这个call调用就是用来初始化这个
cookie值的，当然，这段代码也是公开的，但没有关系，这个算法保证这个cookie值是随机的，hacker也
是不能在一个shellcode中可以猜出来的。
具体算法我不打算在此说明，感兴趣的读者可以自己编译一下再反汇编一下看看。

2.是什么时候填入到栈里面的？
我们知道了这个 security cookie的计算和初始化过程，那么，它必须在函数调用时写入到ebp-4里面才有用。
所以，过去的不带这种保护的代码，在函数入口处一般是这样的：
push ebp
mov ebp,esp
sub ebp,n   ;这条指令可能不同，不过多数情况下都是这样来为局部变量分配空间的
然后，后面就开始执行我们的代码了，
加入这种保护后，会在sub ebp,n后面，加入一条像这样的指令：
mov     dword ptr [ebp-4],XXX
XXX就是security cookie的值，这个值保存在全局变量里，通过RVA＋PE头地址，实际上也可以说成是
绝对地址来引用了。
到这里security cookie的值就写入栈了，然后在函数返回前检测一下就行了。

到了这里，你大概又会产生一个新的问题，
必须为每一个函数调用都写入security cookie进行保护吗？
答案是否定的，要不然我们的程序的执行效率会受到一定的影响，并且可能还不小。
那么，就应该存在一定的规则，什么时候进行这种保护，什么时候不需要。
其依据当然也很简单，有溢出可能的，就加入这种保护，没有溢出可能的，就不加。
那怎么样才算是有溢出可能呢？
这个是编译器进行判断的，像函数里定义了char数组，后面又用字符串操作函数进行了一定的操作，就说明
可能存在溢出。编译器在编译这个函数里的时候就加上security cookie的保护。
当然，这里还有一些其它的很具体的规则，在msdn里有更详细的描述。

还有其它一些问题没有在这里说明，可以把这些问题留给大家
1.有对付security cookie的检测的方法吗？(答案是有的，但好像都不是很优美)
2.有关security异常的异常处理函数
3./safeSEH对 SEH处理的变化

检测本机是否登录了指定QQ账号

1050709009@qq.com(admin) — Fri,02 Jul 2010 12:03:39 +0800

From:原文地址
有时候做程序，喜欢把程序的注册与用户QQ号码绑定，程序仅允许登录成功了指定QQ账号时才可使用，
为了实现这个目的，有人用API 取QQ窗口、QQ托盘图标上的QQ账号，
但是这个方法写起来比较麻烦，如果用户有意玩玩的话，也可以自己在你软件获取之前先用API修改你要获取的目标信息！
还有一种方法就是内存读取，当然要找到一个QQ登录成功后存放QQ号码的地址，基址肯定是不存在的，再加之QQ更新频繁，所以内存读取的办法也不太好，
为了实现这个目的，还有一种办法那就是利用QQ网页自身的功能，这种方法既方便又准确，下面就来说下原理：
打开： http://xui.ptlogin2.qq.com/cgi-bin /qlogin
我们会发现这也页面会自动获取我们的已登录的QQ信息，并可以实现快速登录，分析之：
关键的东西：

通过分析这个js，我们找到如下2个重要的函数：
function ptui_qInit()  这个函数的作用是初始化SSOAxCtrlForPTLogin.SSOForPTLogin2对象，创建一个ActiveXObject对象
hummer_loaduin()     这个函数就是真正的通过 SSOAxCtrlForPTLogin这个COM来获取已登录QQ信息的，
到此，我们试着自己用程序来调用 SSOAxCtrlForPTLogin的com对象，但是发现失败，原因下面说，
既然不能自己调用 SSOAxCtrlForPTLogin对象，那先试试将页面保存为本地在打开看看什么情况，结果如下：
“快速登录失败，请您返回重试或切换到普通登录模式。”
很明显， SSOAxCtrlForPTLogin对象是要判断当前url的，如果url不是来自以下域名的都不能初始化成功：
var site=["qq.com","paipai.com","tencent.com","soso.com","taotao.com","tenpay.com","foxmail.com","wenwen.com","3366.com","imqq.com"];
好了，既然不能自己用本地页面，也不能自己写程序调用它的COM，那我们就直接来访问它获取它页面上已经获取好的信息吧：
同时附上已经格式好了的  xui.js代码，有兴趣的可以看看
xui.js：下载下载
接着我们来直接实现程序吧，代码如下：

复制内容到剪贴板程序代码

using System;
using System.Windows.Forms;
namespace CheckLoginedQQ
{
    public class Checker
    {

        public Checker()
        {

        }
        private HtmlDocument Document;
        ///

/// 初始化
///

        ///
        public bool Initialize()
        {
            WebBrowser browser = new WebBrowser();
            browser.Url = new Uri("http://xui.ptlogin2.qq.com/cgi-bin/qlogin");
            while (browser.ReadyState!=WebBrowserReadyState.Complete)
            {
                Application.DoEvents();
            }
            if (browser.Document.Url.AbsoluteUri == "http://xui.ptlogin2.qq.com/cgi-bin/qlogin")
            {
                Document = browser.Document;
                return true;
            }
            return false;
        }
       ///

/// 检测登陆账号
///

       ///
       ///
       public bool QQisLogined(string uin)
       {
           HtmlElementCollection elements=Document.GetElementsByTagName("input");
           foreach(HtmlElement element in elements)
           {
               string type = element.GetAttribute("type");
               if (type != "radio")
                   continue;
               string name = element.GetAttribute("name");
               if (name != "q_uin")
                   continue;
               string id = element.GetAttribute("id");
               if (id == "uin_" + uin)
               {
                   return true;
               }
           }
           return false;
       }
    }
}

首先用Webbrowser控件访问，http://xui.ptlogin2.qq.com/cgi-bin/qlogin
通过 ReadState属性判断页面是否加载完成
通过Document.url判断加载时候为 http://xui.ptlogin2.qq.com/cgi-bin/qlogin页面
然后返回真或假
Initialize() == true 之后通过Webbrowser.Document来获取页面上的QQ信息，具体实现看代码！
好了，基本就是这样了，不过要注意的一点是Webbrowser是不能跨线程实例化的，因为他是一个基于COM的控件，所以必须使用 [STAThread] 管理线程
使用示例如下：
[STAThread]
static void Main(string[] args)
{
    CheckLoginedQQ.Checker checker = new CheckLoginedQQ.Checker();
if (checker.Initialize())
  {
     if（checker.QQisLogined("110001")）;
         Console.Write("Logined");
    else
         Console.Write("Not Logined");
  }
else
{
    Console.Write("un Initialize");
}
}

深入理解局部变量在堆栈中的结构

1050709009@qq.com(admin) — Wed,30 Jun 2010 11:13:21 +0800

一直对一些东西都是模模糊糊的，有时候自我感觉已经很清楚了，但是过一段时间要用到这些知识的时候又感觉比较混乱，于是最好的办法就是通过实践来解决这些问题，这样比较直观。
通过一下的分析可以对数组在内存的分布、堆栈内的顺序等一些问题得到解答，基本上就两张图，看不懂的话留言交流，个人技术也很菜，如有错误望纠正。
1、摘自谭浩强里面的一段代码，修改了下：

复制内容到剪贴板程序代码

#include "stdafx.h"
#include "stdio.h"
int main(int argc, char* argv[])
{
    int i,a[10];
    for (i=0;i<=9;i++)
    {
        a[i]=i;
    }
    for (i=9;i>=0;i--)
    {
        printf("%d",a[i]);
    }
    printf("\n");
    return 0;
}

调试截图：

2、修改后的一段代码再次调试：

复制内容到剪贴板程序代码

    int a[10];
    char c;
    int i;
    for (i=0;i<=9;i++)
    {
        a[i]=i;
    }
    c ='s';

就只修改了这部分，然后调试截图

3、总结如下
1）、数组的标号保存的是数组的首地址；
2）、int 分配4字节，char 分配1字节；
3）、堆栈从高地址到低地址增长，同时定义两个变量，参数从右向左入栈（stdcall）；