点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 【081118-19 北京金台饭店】XCon2008 安全焦点信息安全技术峰会
http://xcon.xfocus.net/
召开时间: 2008-11-18
召开地点: 北京金台饭店
2008-11-18 第一天
时间 演讲者 议题
07:30 - 09:00 注册
XCon2008 开始
09:00 - 09:10 开幕辞
10:30 - 11:30
Alert7 王伟 (aka alert7) ,安全焦点(XFocus Team)成员,从事网络安全研究已经有10年经验,发现 过很多漏洞,包括linux kernel,Oracle,Quicktime,MIT krb5等。在2005年与安全 焦点的朋友们写过一本《网络安全渗透技术》。现为Mcafee Avert实验室的研究人员。
个人blog http://hi.baidu.com/weiwang_blog 使用虚拟机技术进行数据流分析-----分析已知漏洞和发现潜在漏洞 当前漏洞形成的原因越来越复杂,分析漏洞也就越困难,难中之难更是数据流的 分析。单用一些手工操作或者是debugger脚本来调试分析数据流已经远远不能满足 我们的需要。
本议题试着引入虚拟机技术来进行自动化的细粒度的数据流分析,从而使我们 知道那些污染数据都流向到了哪里,从而便于我们分析已知漏洞和发现潜在漏洞。
11:30 - 12:30
Aditya K Sood 一个独立安全研究员,是SecNiche Security组织的发起人。他也是Hakin9小组的作者组长,经常写一些安全和黑客相关的文章。他的研究发布在Usenix; login magazine和Elsevier Network Security Journals上。
拥有Aditya学院背景,获得印度信息技术学院网络法律和信息安全的学士和硕士学位。他曾经在EuSecWest, XCON, OWASP, CERT-IN等多个大型会议上进行演讲。另外他还是Evilfingers团体的组长。
他的其他项目包括Mlabs, CERA和Triosec,写的很多安全论文发表在packetstorm security, Linux security, infosecwriters, Xssed portal等处。他也会多个公司提出多个安全建议。
当前他在KPMG IT咨询服务公司作为安全审核员工作,处理大范围的安全评测项目。 变迁 - 客户端的攻击 大凡技术一般有两面性,客户端和服务器端之间有一个永久的依赖彼此。这个演讲将描述安全缺陷根深蒂固性和客户端软件中呈现的不一致性。众多组件使用客户端软件直接与目的服务器交互。我们将剖析类似SKYPE, Pidgin, Miranda等即时通信软件及它们所支持的加密缺陷。我们将分析RDP, CITRIX和VNC客户端的不安全性和攻击。基本概念是证明用户交互是怎样导致被利用的。并会讨论通过ActiveX组件感染和对客户端种植后门。当然也会陈述基于浏览器的漏洞。整个演讲将提供一个完整的客户端攻击场景,这些基于已进行的研究和近期已分析过的漏洞。
12:30 - 13:30
午餐
13:30 - 14:30
FlashSky 安全焦点(XFocus Team)成员 高级Windbg图形插件辅助堆溢出分析 这个议题主要讲述堆分析的复杂性,vista改进的堆结构导致的分析困难,windbg插件的限制等,并且揭示了如何编写一个windbg图形接口,利用工具方便的查看堆信息,帮助定位堆问题,分析和定位堆漏洞!
14:30 - 15:30
郑文彬 网络昵称:MJ0011 安全研究员,Windows驱动工程师,Rootkit/Anti-Rootkit爱好者,高级Bootkit-Tophet 本文揭示了一种新型的Bootkit技术Tophet,以及其第一代范本Tophet.a使用的一些新颖的技术。Tophet.a并非病毒或木马,只用来演示高级的穿透与隐身技术。
Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot"项目中提及,该项目通过感染MBR(磁盘主引记录)的方式,实现绕过内核检查和启动隐身。可以认为,所有在开机时比Windows内核更早加载,实现内核劫持的技术,都可以称之为Bootkit,例如后来的BIOS Rootkit , VBootkit,SMM Rootkit等。
在现在MBR\Boot Sector\Nt Os loader都被各种HIPS监视软件、检查软件严防死守,而BIOS, SMM, ROM firmware 之类的启动位置又存在被锁定或通用性不够好的时候,如何简单、通用,又有效地进行Windows内核启动劫持呢?Tophet.a使用了一种新的方式:NtBootdd.sys。 同时,Tophet.a揭示了一些磁盘级的穿透、隐藏技术,可以穿透目前所有防御软件,进行安装,同时在目前任何Rootkit文件检测技术下隐身。
15:30 - 16:00
茶歇
16:00 - 17:00
Luciano & Sebastian Luciano Notarfrancesco是一个在安全领域中有10年经验的计算机安全研究员,是netifera的合作创始人,他目前开发netifera平台。
Sebastian Muniz为电信工业公司中作为高级开发程序员工作过几年,近3年来着重于Exploit开发和安全研究。在过去几个月一直致力于netifera的安全顾问。 在业余时间里,他喜欢拆解嵌入系统,如DVD Player和(ex)Cable Modem。
netifera平台:同一个网络 同一个梦想 本次演讲将会给大家介绍netifera,一个自由和开放源代码的平台,提供建立和集成以前没有做到过的非常灵活的安全工具框架结构。提供一套跨越不停增加的各种架构和操作系统的解决方案,允许远程和本地系统一样运行的工具,从台式电脑到受资源限制的设备,如嵌入式系统,并没有对代码进行任何特定的考虑。
netifera是一款安全信息生态系统,它集成所有信息,由工具执行产生面向对象数据库的中央数据模型。允许netifera把工具输出加入到新的工具中,实现前所未有的工具间协作。
在演讲中我们将介绍基本结构和内在的技术,并使用一些例子进行说明,然后将讲述架构的未来,最后如果时间和资源允许的情况下,我们将做一个现场演示。
17:00 - 18:00
徐昊 毕业于上海交通大学信息安全学院,目前从事信息安全相关产品的研发和高级安全技术的研究。四年前开始专注于信息安全领域技术的研究,主要研究方向:Windows系统内核、Rootkit攻击与检测、虚拟化技术、逆向工程 Windows系统内核防护—基于芯片虚拟化技术 Rootkit技术的不断深入使得操作系统的内核不再安全可靠,而现有的反病毒软件并不能有效得保护系统内核。
2006年AMD和Intel都提出了自己的虚拟化技术,该技术的引入使得Ring 0中的代码执行可以被部分控制。本议题总结了常见的内核Rootkit技术,并在此基础上阐述如何利用芯片的虚拟化技术来保护操作系统内核,详细介绍基于Intel VT的虚拟机框架实现和保护系统内核的若干机制。
2008-11-19
第二天
时间 演讲者 议题
09:00 - 10:00
Alexander Sotirov Alexander Sotirov从1998年就开始界入安全领域,他开始为Phreedom杂志(保加利亚北京技术出版社)工作,在之前10年里他曾经研究反向软件工程,研究漏洞和开发高级可利用技术。最近的成果包括Internet Explorer和Firefox的ANI漏洞的发现,Feng Shui浏览器堆可利用技术的开发和绕过Windows Vista对漏洞利用的防护措施。他的专业包括作为Determina 和VMware的安全研究员。 绕过Windows Vista 浏览器内存保护 在过去几年中,Microsoft实现了多个内存保护机制来防止windows平台上通用软件漏洞的可靠性利用。包括GS, SafeSEH, DEP和ASLR等是多种内存破坏漏洞利用复杂法的保护机制。
这份功课探究了之前提及的保护机制的局限性,特别是关注于windows平台上流行浏览器实现上的缺陷。我会演示使用流行浏览器插件如Flash, Java和.NET的多种可利用技术,用于绕过保护和完成可靠的远程代码执行。
10:00 - 10:30
茶歇
10:30 - 11:30
kuza55 http://kuza55.blogspot.com/ 同源策略 同源策略多涉及于WEB应用程序相关的安全策略,它用于在浏览器中对不同源之间的 活动内容通信进行约束,这个策略一般引起知名的如跨站脚本漏洞级别的缺陷,更正确 点的术语一般称为JavaScript注入,其迫使应用程序回馈攻击者特定的特殊构建的数据, 导致在目标用户上以受影响源的安全上下文中执行JavaScript.
这次演讲将讲述同源策略的最大弱点,它必须通过每个浏览器组件独立的实现,如果任意组件 实现不同于其他组件,那么浏览器的安全情况将改变。同样这次演讲将描述同源策略是怎样在 不同环境下实现的,特别是Active内容中,及讲述哪些地方同源策略没有被真正的执行。
13:30 - 14:30
Jeff Moss Jeff Moss, 也被称为Dark Tangent,是全球最著名的Black Hat 和 DEF CON 黑客大会的创始人 Moss毕业于Gonzaga大学,并拥有刑事司法BA学位。他曾经工作于Ernst & Young, LLP的信息系统安全分部。也曾经在Secure Computing Corporation作为技术总监,帮助在United States, Asia和Australia等地建立专业的服务部门。 西方黑客文化 待续...
14:30 - 15:30
swordlea swordlea,安天实验室研发总监兼基础研发中心主任,资深ASM/C/C++程序员,是AVL SDK反病毒引擎的主要设计者之一。 研究方向为反病毒技术,逆向工程等。 此外可能有两位安天微电子与嵌入式实验室的同事担任群众演员,就不介绍了。 还原冬天的神话 - 打印机“病毒芯片”事件之情景再现 开战前,美国中央情报局获悉,伊拉克从法国采购了供防空系统使用的新型打印机,准备通过约旦首都安曼偷运到巴格达,随即派特工在安曼机场偷偷用一块固化病毒芯片与打印机中的同类芯片调了包。美军在战略空袭发起前,以遥控手段激活病毒,使其从打印机窜入主机,造成伊拉克防空指挥中心主计算机系统程序发生错乱,工作失灵,致使防空体系中的预警和C3I系统瘫痪,为美军顺利实施空袭创造了有利条件。 ——某媒体报道
在国内外的报道中,上述案例被反复的提起,其真伪也反复遭到质疑,安天微电子与嵌入式实验室的一群软硬件烧友,通过深入的推导和分析,在硬件和电子电路级别,全面解析了上述过程的实施的可能性和可行性,以及相关的攻防技巧。最后安天将通过一个为时5分钟的安全情景剧,完全实景浮现出,在当前主流系统的高安全配置下,不通过修改任何软件驱动,完全通过硬件修改实施主机控制的实景DEMO。
[ Last edited by 点饭的百度空间 on 2008-10-17 at 18:02 ]
|
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
2008-10-16 18:38 |
|
mj0011_decoder
禁止发言
积分 0
发帖 33
注册 2008-10-1
|
#2
快看啦~***楼主又来晒BLOG啦
可是一般是没有人理的咯 - - 哈哈
[ Last edited by Legend on 2008-10-17 at 11:07 ]
|
※ ※ ※ 本文纯属【mj0011_decoder】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2008-10-17 02:26 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
2008-10-17 02:28 |
|
skychong
注册用户
积分 128
发帖 126
注册 2007-2-10
|
|
2008-10-17 14:53 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
|
2008-10-17 17:26 |
|
mjhy61
新手上路
积分 20
发帖 20
注册 2008-10-13
|
#6
我还是支持一下吧,不过顺便说下扫描什么时候出?不想再加别的杀软了。但没扫描还是稍有些不放心,毕竟可能会有没运行也就没被清除的小东西在里面。用了不少杀软,放弃了还有大半年的卡巴正版用上微点就是希望早日体验一下,下一代的杀毒技术。微点不要让我失望,
|
※ ※ ※ 本文纯属【mjhy61】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2008-10-22 15:44 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
|
2008-10-22 17:19 |
|
gudan
高级用户
积分 605
发帖 579
注册 2007-7-20
|
#8
好像人很多
|
※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
相思无用 唯别而已
别期若有定
千般煎熬又何如
莫道黯然销魂
何处柳暗花明 |
|
|
2008-11-1 02:17 |
|
twoloog
新手上路
积分 1
发帖 1
注册 2012-2-3
|
#9
自从去年的泄密门事件之后 我们更应该关注一下自己的信息安全了
|
※ ※ ※ 本文纯属【twoloog】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2012-2-3 17:13 |
|