当前位置: 信息安全资讯首页 >> 文摘 >> XCon2007 第六届安全焦点信息安全技术峰会于2007 年8 月28 日至29 日在中国北京举行。 XCon2007 第六届安全焦点信息安全技术峰会于2007 年8 月28 日至29 日在中国北京举行。
2007-09-29 09:03:16 作者: 来源: 互联网 浏览次数: 266 文字大小:【 大】【 中】【 小】 - 议题名称 :
- AV引擎之虚拟机脱壳技术
- 议题介绍:
- 目前,越来越多的病毒和木马出于加密或免杀的目的,对自身进行加壳处理,这给目前主流的反病毒检测技术:特征码匹配,带来很多挑战。本议题讨论基于虚拟机技术的脱壳方法,从X86 CPU仿真,PE Loader和Windows系统特性仿真方面对反病毒引擎中的虚拟机脱壳技术进行分析。
- 议题名称 :
- 基于网络计数器的隐蔽信道
- 议题介绍:
- 本议题介绍了两种新的网络隐藏通道,Cloak 和 WebShare。Cloak是一类基于时间的隐藏通道(timing channel)。它将信息嵌入到TCP报文和连接的组合关系之中。相比现有的基于时间的隐藏通道,Cloak有许多突出的特性:高带宽,可靠传输,多变种以适应不同的环境。WebShare是一类基于存储的隐藏通道(storage channel)。它利用网络上大量存在的计数器作为临时存储体,从而减弱了现有的网络隐藏通道的位置限制。本议题还将回顾现有的网络隐藏通道常用的方法。
议题名称 : 利用英特尔南桥之“顶块交换”模式进行BIOS启动劫持 议题介绍: 本议题将揭示一种全新的,利用英特尔ICHx(I/O Controller Hub)系列南桥芯片支持的所谓“顶块交换”(Top-Block Swap)模式进行BIOS启动劫持的方法。ICHx的“顶块交换”模式可以使固件集中器(Firmware Hub, FWH)中的顶端块(即BIOS启动块,Boot Block)与其它位置的区块进行交换,这样能够确保启动块即使在掉电情况下的安全升级,但由于目前很多BIOS代码编写上的疏忽,未在启动完成并将控制权交移操作系统前将该交换功能锁定,如此就使得一个原本的安全措施反而变成了一个严重的安全漏洞,其后运行的恶意程序能够非常容易地利用该交换功能对受害主机实施拒绝服务式攻击(DOS Attacks)导致其无法正常引导开机,或者直接注入一段客户化代码至交换区块使其在下一次启动后先于系统BIOS获得执行权进而控制整个系统。本文将详细讨论BIOS存储器芯片内存地址译码图、英特尔ICHx“顶块交换”模式的工作原理、可能的漏洞利用方法以及相应的防范措施。 知识需要 本议题要求观众具有相当的x86汇编语言和C语言编程能力,并深入理解PC机体系结构及基本部件,例如主板芯片组(南北桥)、BIOS、CMOS等。此外最好对x86处理器体系架构(保护模式、系统管理模式等)、Windows操作系统内核、及一些重要的硬件规范(PCI总线、ACPI、PnP BIOS、EFI等)也有一定的了解。- 议题名称 :
- 高级恶意软件技术新挑战--突破主动防御
- 议题介绍:
- 主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入Windows系统内核详细讲解突破主动防御的各种方法和思路。
- 知识需要
-
- Windows系统机制
- 恶意软件技术
- 安全软件工作原理
- 主动防御现状
议题名称 : 有助于黑客的私人助理 议题介绍: 这个议题将会演示一个Fyodor在过去一年一直研究的项目,这个项目的基础概念是创建一个智能的环境,在这个环境里信息能够被网络工具和以手工的方式存储和分享。在这个平台下网络渗透过程实现自动化,包括信息采集,数据分析和攻击阶段,并且可以自动化的数据分类和自我学习。- 议题名称 :
- 二进制环境下的缓冲区溢出漏洞动态挖掘
- 议题介绍:
- 这个议题提出了一种在二进制环境下挖掘缓冲区溢出漏洞的新方法。采用动态与静态挖掘技术相结合,对二进制环境下的程序更进一步的查找漏洞。静态方法主要对二进制程序的结构进行分析,包括函数的调用关系,函数内部的结构(循环和选择分支),函数栈帧的特征;动态模拟的方法为程序和函数提供了一个虚拟的运行环境,能使程序在运行的过程中结合一些静态特性,得到该函数的签名,即缓冲区读写语义。最终判定程序中是否有缓冲区溢出
- 议题名称 :
- P2P模糊协议与加密封包的分析
- 议题介绍:
- 这个议题关注于讲述如何探测P2P模糊协议与加密封包,例如Skype、eMule和Winny,防火墙和IPS/IDP探测他们都是非常困难的。这个议题将会讲述分析过程和评定这些怪异和陌生的协议和数据包。一个确定的和基于行为的探测方法将被在一个SOHO级的路由器VirgorPro上实现。
- 知识需要
-
- 熟悉TCP/IP协议
- 熟悉Ethereal/Wireshark/Sniffer工具
|
