查看原文
其他

【倒计时5天】10月23日,看雪2020 SDC携十大干货议题来了!

2020 看雪SDC 看雪学苑 2022-07-01



Warning!!!



今天距离2020安全开发者峰会:

                倒计时 5 天啦!!






2020年10月23日第四届看雪安全开发者峰会(2020 SDC)即将在上海盛大召开!SDC面向开发者、安全人员及高端技术从业人员,由拥有20年悠久历史的老牌安全技术社区——看雪学院主办,是国内开发者与安全人才的年度盛事。
本届看雪安全开发者峰会(SDC)以“新安全,新未来”为主题,继续延续技术干货的宗旨,邀请业内顶尖安全专家莅临现场,议题覆盖IoT安全、移动安全、漏洞挖掘、恶意软件、AI安全、工控安全、软件保护等领域,紧抓当下前沿技术,力争为大家带来一场知识的饕餮盛宴。

更多关于峰会的精彩内容,继续往下看吧!




会议日程





1
逃逸IE浏览器沙箱:
在野0Day漏洞利用复现

今年6月和8月,微软分别修复了某APT攻击中使用的两个在野0Day。其中CVE-2020-1380是IE浏览器JavaScript引擎的一个远程代码执行漏洞。当攻击者取得IE浏览器渲染进程的代码执行权限后,再利用本地过程调用(LPC)攻击存在于打印机驱动服务splwow64.exe中的一个任意指针解引用漏洞CVE-2020-0986,实现权限提升,逃逸IE浏览器的沙箱。本议题将介绍这两个0Day的漏洞原理及利用方法,最后演示在Windows 10 2004版本下的完整利用过程。


演讲嘉宾:曹磊

曹磊(@iamelli0t),安全研究员。主要从事沙箱引擎开发;浏览器、Windows内核漏洞利用与检测;红蓝攻防;威胁追踪等技术研究。曾在微软BlueHat Shanghai 2019、Virus Bulletin 2020等安全会议上发表演讲。



2
LightSpy:
Mobile间谍软件的狩猎和剖析

本议题将详细介绍一种全新的iOS恶意软件变种lightSpy以及Android恶意软件家族dmsSpy的整体功能及传播方式。 

演讲嘉宾:Lilang Wu

Lilang Wu(吴东洋),深信服安全专家,主要从事Mobile, Mac/Linux漏洞挖掘和恶意软件分析。曾在BlackHat USA 2018/2019、 BlackHat EU/Aisa、HITB、CodeBlue等安全会议上发表演讲。



3

Dex格式消亡史——
最新Dex保护技术:流式编码


本议题将介绍全新的保护方式,对于原Dex摒弃其格式,采用自有结构,并且字节码重新编码,自定义变长指令,而不是之前的映射表形式。从某种程度来说,摆脱了Dex格式的限制。


演讲嘉宾:曹阳

曹阳,360加固保团队技术负责人。毕业于北京邮电大学,从事移动安全十年,擅长前端代码保护、攻防破解。



4
Android WebView
安全攻防指南2020 


本议题将从WebView漏洞基本模型出发,基于演讲者在甲方安全工作和参加Google GPSRP漏洞挖掘积累的丰富案例, 既深入浅出地介绍WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等方面的典型安全漏洞与利用手法,也为开发者提供安全编码方面的指南。 
 

演讲嘉宾:何恩

何恩(id: heeeeen),OPPO子午互联网安全实验室安全专家,专注于Android 安全,擅长Android App和框架层的漏洞挖掘,获得数十个Android CVE编号、GPSRP顶级漏洞奖励。安全领域从业16年,曾任职中国电科第三十研究所,并在CNCERT 2016和POC 2018安全峰会上发表演讲。



5
生物探针技术研究与应用

生物探针技术通过采集用户在使用终端设备时产生的传感器和滑动轨迹等操作数据,通过特征工程、机器学习进行分析,为用户建立多维度的生物行为特征模型,能够有效地检测自动化工具撞库攻击、授权爬取账单、网银盗号、电诈盗刷等交易风险。
 

演讲嘉宾:王巍

王巍,同盾科技小盾安全总监,东南大学计算机博士,哈工大博士后,曾就职于微众银行等知名机构,主持反欺诈算法框架的建设;拥有10年反欺诈算法经验;发表论文10余篇,拥于10+相关专利。



6
世界知名工控厂商
密码保护机制突破之旅

本议题以世界范围内工控设备市场份额占比最大的西门子、施耐德、罗克韦尔等厂商的核心控制设备为研究对象,讲述了核心控制设备的密码保护机制缺陷及其突破思路,总结出几种行之有效的攻击思路和实现方法,并提出了针对这些缺陷的安全设计建议。无论您是工控系统开发人员还是工控安全研究人员都值得一看。


演讲嘉宾:高剑

高剑,绿盟科技格物实验室资深工控安全研究员。主要研究方向为工控系统漏洞、工控业务场景风险评估与测试。已获得数十个CVE、CNVD编号。多次参与国家级工控安全平台建设项目及国内知名制造厂商调研项目。



7
敲开芯片内存保护的
最后一扇“门”
  

本议题主要介绍常规市场占比比较高的微处理器,emmc,NoR Flash,NAND Flash等通用芯片固件提取方案,并针对芯片本身读保护进行注入型安全绕过,对内存保护芯片进行低成本的侧信道攻击达到固件提取的效果,并为开发者提供低成本高效的安全加固和防解包方案。本议题还会开源一些常规通用的固件提取的硬件(PCB图纸)+软件的方案。


演讲嘉宾:付鹏飞

付鹏飞,阿里云安全IoT平台高级安全工程师,主要负责阿里云IoT平台亿万级设备连接云平台的安全。曾任职知道创宇、联想全球安全实验室,主要方向为IoT安全、硬件安全。



8
基于量子逻辑门的
代码虚拟(vmp)保护方案

本议题基于“量子逻辑门”,拟态ALU指令生成函数生成器,动态标志位惰性计算优化,组合恒等式,执行路径隐藏,多态变形编译器,智能混淆代码生成等技术在传统的VMProtect,Themida等基于汇编指令代码虚拟保护工具的基础上发展的一些新保护思路。
 

演讲嘉宾:赵川

赵川,VxProtect安全团队创始人,毕业于福建师范大学,15年软件/安全从业经验。专注于软件安全保护、知识付费内容保护、区块链、保险行业大数据安全等领域。曾任职微软、网龙等公司。



9
麒麟框架:
现代化的逆向分析体验

麒麟框架是一个以跨平台模拟为基础的插桩逆向分析框架。本议题在介绍的麒麟框架的基础上,进一步阐述麒麟框架在MBR实模式分析中的独特作用,同时展示麒麟IDA插件如何为IDA Pro带来插桩分析、可视化模拟和反混淆等高级二进制分析功能。
 

演讲嘉宾1:孔子乔

孔子乔,京东牧者安全实验室安全工程师,Lancet战队成员,Blackhat Asia 2020演讲者,Qiling和Unicorn的贡献者,主攻二进制分析和代码审计。曾入选GeekPwn 2019名人堂。


演讲嘉宾2:武晨旭

武晨旭(kabeor),京东牧者安全实验室安全研究员,麒麟框架主要贡献者、BlackHat Asia 2020 演讲者、BUUCTF Re方向Top1。



10
高通移动基带系统内部揭密

本演讲将通过对高通移动基带系统进行深度的逆向工程,从Hexagon DSP芯片指令架构以及微内核操作系统QuRTOS的实现方式进行深入探究,来一窥高通基带系统的内部实现逻辑,除了会介绍包括QuRTOS系统的内存管理、设备管理、任务进程管理等特性以外,还会揭密高通基带系统不为人知的一些内部秘密。
 

演讲嘉宾:谢君

谢君,阿里安全资深安全专家,有超过14年安全领域技术研究的工作经验,持续安全研究者,现专注于基础设施安全研究,包括操作系统/芯片/无线连接协议等基础技术领域的安全研究,涉足过5G基带与核心网安全技术/IoT/车联网/智能家居/APT威胁检测领域方面的攻防实践。


立即扫码2.5折购票

 




圆桌会谈


随着5G商用不断加快,5G在各个应用场景的网络安全风险也在日益凸显。面对5G新基建带来的机遇以及诸多全新的安全挑战,本次2020看雪安全开发者峰会上我们特别邀请6位行业大咖,举行圆桌会谈,就主题“新安全,新未来”,展开深入探讨。





三大训练营火热来袭 


《安卓APP加固攻与防》训练营



为了实现对安卓平台恶意App的逆向分析和取证工作,往往在拿到一个APK以后需要首先使用静态分析对APK进行反编译和代码审计。但是,随着恶意App开发人员安全意识的增强,为了对抗安全分析人员的分析取证,越来越多的安卓恶意App普遍在发布前使用代码加固来增加逆向分析难度。因此,对加壳APP的脱壳便成了首要解决的难题。


本次训练营对Android平台App加固与脱壳进行培训,主要包括App加壳原理分析以及FART脱壳机的框架设计和原理,最后包含动手实践阶段,实现属于自己的自动化脱壳工具以及对加壳App的脱壳。


报名学员还可以免费获得一部手机哦!

 *  点击此处查看训练营课程目录~


超值!3999元



《CTF高级解混淆》训练营 



看雪邀请拥有丰富CTF竞赛经验的国际顶尖CTF战队成员为大家带来魔鬼集训,帮助你有方法、有技巧地迅速成长!


本课程旨在讲解CTF中的一类难题 —— 自定义混淆的二进制类赛题,介绍如何透彻分析CTF中的自定义混淆方法,并在此基础上实现自动化解混淆从而解决这类题型,帮助学员梳理CTF中混淆与解混淆的技术思路,提升二进制安全技术相关的问题分析与解决能力。

 

点击此处查看训练营课程目录~


4999元,内容绝对够干!

 


《使用DCI技术进行全栈调试》训练营


* 详情可点击海报跳转查看~


DCI是英特尔Skylake微架构引入的调试技术,允许通过USB3接口建立JTAG调试会话。DCI调试依赖硬件扫描链路来控制和访问目标系统,不依赖上层,因此可以调试软件调试器无法调试的“临界地带”和敏感逻辑。


本培训以实战形式带领学员调试进军软件世界中的高寒地带,从BIOS、Boot Loader、系统管理模式(SMM)、OS内核、KVM五大版块进行,通过一整天的现场调试教学课程,能够让学员在实战中高效的学习使用DCI调试的基本方法和高级技巧


本培训会免费为每个学员赠送一台Mini PC(GDK7-100)作为调试目标,价值3980元


*点击此处查看训练营课程目录~


9999元,大师带你飞!





 黑科技闪亮登场 




这里是创意火花碰撞的舞台,这是一个自由、开放、包容的地方,让所有热爱网络安全技术的Geek们汇聚一堂。


除了有玲琅满目的黑科技商品、工具和图书等,还有众多体验项目让你玩嗨现场!






立即购票





原价1024元,现在购买即可享受2.5折优惠!


256元,即可学习到十大干货议题。


参与抽大奖权益,会议ppt优先获得。


门票还含200元自助午餐1份!


立即扫码优惠购票

知识干货全都收入囊中!





看雪SDC简介


2020年10月23日,第四届安全开发者峰会(看雪SDC)将由拥有20年悠久历史的老牌安全技术社区——看雪学院主办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。作为开发与安全领域内,最具影响力的互联网安全合作交流盛会之一,SDC始终致力于建立一个多领域、多维度的高端安全交流平台,推动互联网安全行业的快速成长与广泛合作。
自2017年7月份开始举办第一届峰会以来,会议始终秉承着技术与干货的原则,议题内容覆盖物联网、智能设备、区块链、机器学习、WEB安全、逆向、安卓、iOS等前沿领域,吸引了业内众多顶尖的开发者和技术专家。


主办方简介


看雪学院(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区!成立于2000年,经历了二十年的磨砺,见证了国内安全行业的发展,被誉为安全界的黄埔军校。它是中国最早的安全人员交流学习社区,通过二十年的发展在行业内树立了令人尊敬的专业形象。



合作伙伴







原价1024元,立即购买即可享受2.5折优惠!只需256元,即可与大牛面对面十大干货议题任你听会议PPT 优先享门票还包含200元自助午餐一份哦!


立即扫码购票享2.5折优惠

问题咨询,请添加微信:kanxuecom



- End -





公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



求分享

求点赞

求在看


“阅读原文”来购票吧!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存