XCON2008的内容介绍

1。Chris Peterson

 

Chris Peterson，安全保障总监， 微软安全工程中心,他在1997年从新墨西哥大学的计算机工程专业毕业，已经在微软公司工作10年，目前工作是微软安全工程中信的安全保障总监。在微软工作的过程中曾经专注于包括Windows Live ID验证系统， Live Messenger服务， MSN安全和Live网络及Windows操作系统的关键技术。当前工作任务是负责纵贯所有微软产品的应用程序安全开发周期，特别是Windows操作系统部分。他拥有基于WEB验证和安全相关领域的5项专利。  

windows 7安全纵览

此讲稿中将会讲述下一代Windows操作系统和Internet Explorer web浏览器的新的安全特征和安全威胁缓解技术。另外，作为微软操作系统开发的基础组成部分的业界领先的安全工程实践也会被讨论到。 部分Windows 7和IE 8关键的安全特征将会以DEMO形式演示。

2。 Alert7

王伟 (aka alert7),安全焦点(XFocus Team成员，从事网络安全研究已经有10年经验，发现 过很多漏洞，包括linux kernel,Oracle,Quicktime,MIT krb5等。在2005年与安全 焦点的朋友们写过一本《网络安全渗透技术》。现为Mcafee Avert实验室的研究人 员。个人blog http://hi.baidu.com/weiwang_blog 

使用虚拟机技术进行数据流分析

使用虚拟机技术进行数据流分析--已知漏洞和发现潜在漏洞
当前漏洞形成的原因越来越复杂，分析漏洞也就越困难，难中之难更是数据流的 分析。单用一些手工操作或者是debugger脚本来调试分析数据流已经远远不能满足 我们的需要。
本议题试着引入虚拟机技术来进行自动化的细粒度的数据流分析，从而使我们 知道那些污染数据都流向到了哪里，从而便于我们分析已知漏洞和发现潜在漏洞。

3。 Aditya K Sood

Aditya K Soo是一个独立安全研究员，是SecNiche Security组织的发起人。他也是Hakin9小组的作者组长，经常写一些安全和黑客相关的文章。他的研究发布在Usenix; login magazine和Elsevier Network Security Journals上。
拥有Aditya学院背景，获得印度信息技术学院网络法律和信息安全的学士和硕士学位。他曾经在EuSecWest, XCON, OWASP, CERT-IN等多个大型会议上进行演讲。另外他还是Evilfingers团体的组长。
他的其他项目包括Mlabs, CERA和Triosec，写的很多安全论文发表在packetstorm security, Linux security, infosecwriters, Xssed portal等处。他也会多个公司提出多个安全建议。
当前他在KPMG IT咨询服务公司作为安全审核员工作，处理大范围的安全评测项目。

变迁 - 客户端的攻击

大凡技术一般有两面性，客户端和服务器端之间有一个永久的依赖彼此。这个演讲将描述安全缺陷根深蒂固性和客户端软件中呈现的不一致性。众多组件使用客户端软件直接与目的服务器交互。我们将剖析类似SKYPE, Pidgin, Miranda等即时通信软件及它们所支持的加密缺陷。我们将分析RDP, CITRIX和VNC客户端的不安全性和攻击。基本概念是证明用户交互是怎样导致被利用的。并会讨论通过ActiveX组件感染和对客户端种植后门。当然也会陈述基于浏览器的漏洞。整个演讲将提供一个完整的客户端攻击场景，这些基于已进行的研究和近期已分析过的漏洞。

4。 FlashSky

安全焦点(XFocus Team)成员

高级Windbg图形插件辅助堆溢出分析

这个议题主要讲述堆分析的复杂性，vista改进的堆结构导致的分析困难，windbg插件的限制等，并且揭示了如何编写一个windbg图形接口，利用工具方便的查看堆信息，帮助定位堆问题，分析和定位堆漏洞！

5。 郑文彬

安全研究员，Windows驱动工程师，Rootkit/Anti-Rootkit爱好者，网络昵称:MJ0011

高级Bootkit-Tophet

本文揭示了一种新型的Bootkit技术Tophet，以及其第一代范本Tophet.a使用的一些新颖的技术。Tophet.a并非病毒或木马，只用来演示高级的穿透与隐身技术。
Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot"项目中提及，该项目通过感染MBR(磁盘主引记录）的方式，实现绕过内核检查和启动隐身。可以认为，所有在开机时比Windows内核更早加载，实现内核劫持的技术，都可以称之为Bootkit,例如后来的BIOS Rootkit , VBootkit，SMM Rootkit等。

在现在MBR/Boot Sector/Nt Os loader都被各种HIPS监视软件、检查软件严防死守，而BIOS, SMM, ROM firmware 之类的启动位置又存在被锁定或通用性不够好的时候，如何简单、通用，又有效地进行Windows内核启动劫持呢？Tophet.a使用了一种新的方式：NtBootdd.sys。 同时，Tophet.a揭示了一些磁盘级的穿透、隐藏技术，可以穿透目前所有防御软件，进行安装，同时在目前任何Rootkit文件检测技术下隐身。 

6。 Luciano & Sebastian

Luciano Notarfrancesco是一个在安全领域中有10年经验的计算机安全研究员，是netifera的合作创始人，他目前开发netifera平台。
Sebastian Muniz为电信工业公司中作为高级开发程序员工作过几年，近3年来着重于Exploit开发和安全研究。在过去几个月一直致力于netifera的安全顾问。 在业余时间里，他喜欢拆解嵌入系统，如DVD Player和(ex)Cable Modem。 

netifera平台:同一个网络 同一个梦想

本次演讲将会给大家介绍netifera，一个自由和开放源代码的平台，提供建立和集成以前没有做到过的非常灵活的安全工具框架结构。提供一套跨越不停增加的各种架构和操作系统的解决方案，允许远程和本地系统一样运行的工具，从台式电脑到受资源限制的设备，如嵌入式系统，并没有对代码进行任何特定的考虑。
netifera是一款安全信息生态系统，它集成所有信息，由工具执行产生面向对象数据库的中央数据模型。允许netifera把工具输出加入到新的工具中，实现前所未有的工具间协作。
在演讲中我们将介绍基本结构和内在的技术，并使用一些例子进行说明，然后将讲述架构的未来，最后如果时间和资源允许的情况下，我们将做一个现场演示。

7。 徐昊

毕业于上海交通大学信息安全学院，目前从事信息安全相关产品的研发和高级安全技术的研究。四年前开始专注于信息安全领域技术的研究，主要研究方向：Windows系统内核、Rootkit攻击与检测、虚拟化技术、逆向工程

Windows系统内核防护—基于芯片虚拟化技术

Rootkit技术的不断深入使得操作系统的内核不再安全可靠，而现有的反病毒软件并不能有效得保护系统内核。2006年AMD和Intel都提出了自己的虚拟化技术，该技术的引入使得Ring 0中的代码执行可以被部分控制。本议题总结了常见的内核Rootkit技术，并在此基础上阐述如何利用芯片的虚拟化技术来保护操作系统内核，详细介绍基于Intel VT的虚拟机框架实现和保护系统内核的若干机制。

8。 Alexander Sotirov

Alexander Sotirov从1998年就开始界入安全领域，他开始为Phreedom杂志(保加利亚北京技术出版社)工作，在之前10年里他曾经研究反向软件工程，研究漏洞和开发高级可利用技术。最近的成果包括Internet Explorer和Firefox的ANI漏洞的发现，Feng Shui浏览器堆可利用技术的开发和绕过Windows Vista对漏洞利用的防护措施。他的专业包括作为Determina 和VMware的安全研究员。

绕过Windows Vista 浏览器内存保护

在过去几年中，Microsoft实现了多个内存保护机制来防止windows平台上通用软件漏洞的可靠性利用。包括GS, SafeSEH, DEP和ASLR等是多种内存破坏漏洞利用复杂法的保护机制。
这份功课探究了之前提及的保护机制的局限性，特别是关注于windows平台上流行浏览器实现上的缺陷。我会演示使用流行浏览器插件如Flash, Java和.NET的多种可利用技术，用于绕过保护和完成可靠的远程代码执行。

9。 kuza55

kuza55在过去几年中是WEB应用程序安全研究团体的核心成员，发布了多个论文，并在24th届Chaos通信大会和Bluehat v7上发布他的新成果。他是SIFT的R&D团队Leader，通过攻击渗透获得报酬，重要的是他业余时间是作为独立安全研究员，以攻击渗透为乐。

同源策略

同源策略多涉及于WEB应用程序相关的安全策略，它用于在浏览器中对不同源之间的 活动内容通信进行约束，这个策略一般引起知名的如跨站脚本漏洞级别的缺陷，更正确 点的术语一般称为JavaScript注入，其迫使应用程序回馈攻击者特定的特殊构建的数据， 导致在目标用户上以受影响源的安全上下文中执行JavaScript.

这次演讲将讲述同源策略的最大弱点，它必须通过每个浏览器组件独立的实现，如果任意组件 实现不同于其他组件，那么浏览器的安全情况将改变。同样这次演讲将描述同源策略是怎样在 不同环境下实现的，特别是Active内容中，及讲述哪些地方同源策略没有被真正的执行。

10。 Adam Laurie

Adam Laurie是Bunker Secure Hosting公司的总监，在70年代就从事计算机业，刚开始是PDP-8和其他mini计算机的电脑程序员，然后是80年代出现的各种Unix, Dos和基于CP/M的微型计算机，他就对底层网络和数据协议感兴趣，把从编程注意力转到这些领域上，并开了数据转换公司，并在欧洲成为此领域的资深专家(下载服务)。在这个过程中，他成功的反驳了业界谎言，音乐CD不能被计算机读取，通过他兄弟的帮助，写了世界上第一个CD剥离器'CDGRAB'。
同时，他和BEN对新的互联网概念有了非常浓厚的兴趣，并参与各种早期开源项目，如知名的'Apache-SSL'，其之后称为标准的加强WEB服务器安全的服务。自90年代后期他们开始关注安全问题，并发飙了多个关于Internet服务或软件的各种缺陷，其领先的概念重用在军事数据中心上(设置地下核掩体)，用于主机设置安全加强。Adam从1997年以来就是DEFCON的资深工作人员。并且在早期Black Hat Briefings会议中作为工作人员。

Adam Laurie是蓝牙SIG安全专家小组的成员。

实用RFID破解

RFID可以嵌入到任何地方，从护照到裤子，从门钥匙到信用卡，从移动电话到垃圾桶，从宠物到人类。由于某种原因这些设备变得可以解决每个新问题，我们似乎无法摆脱这个。

此演讲将关注一些下面的一些技术问题，RFID用于什么地方，怎样工作，为何它有的时候依赖它作为安全应用不是一个好的注意，更令人担忧的是，这个成品技术可以用于对付自己。这里将讨论和演示软件和硬件工具及技术，及一些可利用漏洞的详细细节。

11。  Jeff Moss

Jeff Moss, 也被称为Dark Tangent,是全球最著名的Black Hat 和 DEF CON 黑客大会的创始人 Moss毕业于Gonzaga大学，并拥有刑事司法BA学位。他曾经工作于Ernst & Young, LLP的信息系统安全分部。也曾经在Secure Computing Corporation作为技术总监，帮助在United States, Asia和Australia等地建立专业的服务部门。

西方黑客文化

12。 swordlea

swordlea,安天实验室研发总监兼基础研发中心主任,资深ASM/C/C++程序员，是AVL SDK反病毒引擎的主要设计者之一。 研究方向为反病毒技术，逆向工程等。 此外可能有两位安天微电子与嵌入式实验室的同事担任群众演员，就不介绍了。

还原冬天的神话 - 打印机“病毒芯片”事件之情景再现

开战前，美国中央情报局获悉，伊拉克从法国采购了供防空系统使用的新型打印机，准备通过约旦首都安曼偷运到巴格达，随即派特工在安曼机场偷偷用一块固化病毒芯片与打印机中的同类芯片调了包。美军在战略空袭发起前，以遥控手段激活病毒，使其从打印机窜入主机，造成伊拉克防空指挥中心主计算机系统程序发生错乱，工作失灵，致使防空体系中的预警和C3I系统瘫痪，为美军顺利实施空袭创造了有利条件。 ——某媒体报道

在国内外的报道中，上述案例被反复的提起，其真伪也反复遭到质疑，安天微电子与嵌入式实验室的一群软硬件烧友，通过深入的推导和分析,在硬件和电子电路级别,全面解析了上述过程的实施的可能性和可行性，以及相关的攻防技巧。最后安天将通过一个为时5分钟的安全情景剧，完全实景浮现出，在当前主流系统的高安全配置下，不通过修改任何软件驱动，完全通过硬件修改实施主机控制的实景DEMO。 

主页http://xcon.xfocus.net/