XRewardXFocus回馈日回馈些什么.PDF

2015/8/25 XReward XFocus回馈日回馈些什么？ XReward XFocus回馈日回馈些什么 ？   2015­08­20   张林才   信息安全竞赛 为期两天的老牌安全活动XCon已落下帷幕，今天由XFocus创办的XReward回馈日首次面向 安全圈公开举行，参会者只要在官网注册就可以免费参加。虽然是免费的活动，并没有因为 不收费而让演讲内容落于下乘。 提起主办这次回馈日的初衷， “神话行动”创始人、XCon安全焦点技术峰会创始人王英键 （呆神）表示，在我们成长的这些年，我们从互联网获得了太多，因此希望通过自身的力量 为互联网做点什么，回报互联网。这也是 “呆神”用实际的行动践行 “From Internet , For  Internet的精神。 此次的XReward邀请了安全焦点成员和若干位业内大咖进行技术和经验分享，作为XCon的 兄弟活动，XReward回馈的同样是满满的干货。 看雪论坛安全编程版主、娜迦信息科技CTO阎文斌 （玩命）第一个登上讲台分享。“玩 命”在演讲时修改了主题，将 《二进制指令编译器的原理以及在Android原生层的应用》跟 安卓相关的部分去掉了，对此美女主持人趁着设备没有调试好的空隙，与 “玩命”展开了一 段幽默有趣的对话，引爆了全场。无论主持人怎么引导到安卓上， “玩命”就是滴水不漏， 始终都回答： “那都是幻觉。”@­@，美女主持见逗乐不了“玩命 “，干脆还给大家讲了 /s?__biz MjM5NjkyMTk5Mg mid 209245513idx 1sn 335232f23ce8aae5d65a042d00b1a058scene 5srcid WD5PG3… 1/10 2015/8/25 XReward XFocus回馈日回馈些什么？ 个冷笑话。 玩命与美女主持的对话很逗乐  “玩命”说要做一个东西让别人在两年内抄袭不了，比如说将苹果系统的程序转换到安卓， 或者将安卓程序转换成苹果系统的，开发了一段时间后发现其实还是蛮难的。但是如果从二 进制编译器的角度去做也许能实现。那么，二进制编译器能做什么呢？首先是文件格式的对 转，比如从MACH­O转ELF、ELF转PE；其次是实现指令编码对转，从ARM转X86，从X86 转MIPS。 /s?__biz MjM5NjkyMTk5Mg mid 209245513idx 1sn 335232f23ce8aae5d65a042d00b1a058scene 5srcid WD5PG3… 2/10 2015/8/25 XReward XFocus回馈日回馈些什么？   通过拆解目标文件结构(ELF、PE、MACH­O)，找出共同的属性并提取文件结构模型，用指 令模型将现实存在的不同系统结构(X86、ARM、MIPS等)统一转化为自有虚拟伪汇编代码， 并通过一系列技术手段最终生成一套在原有逻辑不变的情况下具有反逆向分析的真实二进制 指令代码。 知道创宇首席安全官周景平 （黑哥）在演讲开场时，引用了2013年在乌云上盛传的一句话 说： “搞web安全的都是屌丝”，而APT实施的人都是高富帅，打击的人也是高富帅。这一 点甚至可以从黑产收购爬虫收集资料的价格可以看出——5毛一个，原来搞web的就是传说 中的另一种 “5毛党”O(∩_∩)O 当然，搞web的也有不屌丝的地方，比如说web服务已经成为APT或渗透的主要入口，web 应用程序的安全性成为关键主体。 /s?__biz MjM5NjkyMTk5Mg mid 209245513idx 1sn 335232f23ce8aae5d65a042d00b1a058scene 5srcid WD5PG3… 3/10 2015/8/25 XReward XFocus回馈日回馈些什么？ 黑哥  为什么说 “web应用安全之殇”？首先是web成本低、效率高、效果好，其实是漏洞多、工 程化程度高、攻击界面大。web应用程序的安全问题存在混乱的局面，从厂商官方下载应用 不可靠，第三方应用分发同样不靠谱，应该做些什么？“黑哥”分享了为此付出的努力和取