REcon 2008

 

 

Konference Podrobnosti

Jsme potěšeni, že můžeme oznámit 2008 konferenční lineup. Další přednášky budou doplněny tak, jak jsou potvrzena.

Konference se bude skládat z 30 a 60 minut rozhovorů na jediné trati, a bude mít bleskové rozhovory během Recon strany.

Hodnocení Reproduktory

Ilfak Guilfanov - Stavební pluginy pro IDA Pro aktualizované 
Michael Strangelove - Hacking Kultura
 

Reproduktory

Nicolas Brulez - polymorfního viru analýza aktualizována 
Pierre-Marc Bureau - Jak jsem se dozvěděl, reverzní inženýrství s Storm aktualizovány 
Tiller Beauchamp - Re: Trace - Aplikovaná Reverzní inženýrství na OS X aktualizovány 
Sharon Conheady a Alex Bayly - Sociální inženýrství pro "sociálně nešikovný" Bruce Dang - Metody pro analýzu škodlivých dokumenty Office aktualizované Sébastien Doucet - 64-bitové Dovoz přestavba a vybalování aktualizovány Thomas Garnier - Windows zvýšení úrovně oprávnění pomocí LPC a ALPC rozhraní aktualizovaných Cameron Hotchkies - Pod iHood aktualizovanéEric D. Laspe - The Deobfuscator aktualizované Anthony de Almeida Lopes - Vynechání bezpečnostní ochrany podle Backdooring libc aktualizovány Aaron Portnoy a Ali Rizvi-Santiago - reverzní inženýrství dynamických jazyků, se zaměřením na Pythonaktualizované Nicolas Pouvesle - jádra NetWare přetečení zásobníku využití aktualizované Jason Raber - Helikaon Linux Debugeraktualizováno Gera - Dvě velmi malé reverzní inženýrství nástroje : python rozebrání motoru a iterativní reverzní inženýrství rámec aktualizováno Craig Smith - Vytvoření kód mlžení virtuálních počítačů aktualizované Pablo Sole - RE přes Adobe Acrobat Reader, pomocí Immunity Debugger aktualizovaný Alexander Sotirov - Blackbox obrácení XSS filtry aktualizováno
 

Lunch Time Workshop

Sébastien Doucet - IITAC - Úvod do IDA Pro pro uživatele Ollydbg (20 míst)
 

-------------------------------- ^

Stavební pluginy pro IDA Pro - Ilfak Guilfanov (Délka: 60 minut)

IDA Pro je nejen disassembler, ale otevřená platforma, kterou lze použít k vytvoření různých binárních nástrojů analýzy. Tato prezentace se bude mluvit o IDA API a ukázat některé vzorky pluginů. Pokud byste chtěli vytvořit své vlastní pluginy, ale neudělal to, kde začít, zde najdete všechny potřebné informace.

Materiál

skluzavky (ODP) | klouzačky (ppt)

Bio:

Pan Guilfanov, zakladatel a CEO společnosti Hex-Rays SA, má BSc z matematiky na Moskevské státní univerzitě. On je senior architekt několika vysoce ceněných softwarových balíčků, včetně široce používané IDA Pro, multi-platformní, multi-procesor, disassembler a debugger. Pan Guilfanov je také známý pro mít povolený na 31 prosinci 2005, velmi propagoval neoficiální oprava pro WMF (WMF) chybu v operačním systému Microsoft Windows.

-------------------------------- ^ _

Hacking Kultura - Micheal Strangelove

Jak více naše společná kultivované privatizována a stala zboží ztrácíme kontrolu nad významy, které formují společenský život.Tam, kde hackeři první generace přestoupili vlastnická práva prostřednictvím lámání kódu, hackeři druhé generace se snaží podkopat firemní kontrolu nad smyslu přes často nelegální transformaci soukromých významů. Tato položka z duševního vlastnictví podle umělce, kulturní rušičky a běžné služby YouTube odráží vůli rozvrátit prioritu na soukromém majetku v rámci kapitalismu. Prostředky, pirátství, hacking, a jiné techniky disentu umožňují formu asymetrického válčení kulturního být mzda proti teroru kapitálu. Dr. Strangelove nastíní ústřední roli, kterou jejich význam a práva duševního vlastnictví hrají v reprodukci kapitalismu a vysvětlit, jak korporace a stát ztrácí kontrolu nad výrobou významu v internetovém věku.

Bio:

Michael Strangelove je jeden z kanadských internetových průkopníků. Finanční příspěvek Magazine označil Strangelove "mezinárodní odborník na kyberprostor a netrepreneur." V obchodní oblasti internetu má mnoho prvenství spojené s jeho jménem. Strangelove spoluautorem první adresář odborných internetových publikací (1991), která byla založena a publikoval první tiskovou bázi časopis na světě řešit marketing a reklama na komerční Internetu (Internet Business Journal, 1993), a psal, že co může být i první kniha řešit Internetová reklama a chování spotřebitelů (Jak inzerovat na internetu, 1994). Zpráva Globe and Mail na činnosti uvedené Strangelove jako "jeden z prvních Kanaďanů využít internetu jako prodejní nástroj."

Během prvních dnů komerčního internetu, Strangelove vytvořil společnost, která nabízí praktické, business-související Internet a intranet komunikace, školení a publikační služby, dlouho předtím, než byly k dispozici z jiných zdrojů tyto služby. Ve světle těchto úspěchů, Canadian Business Magazine odkazoval se na Strangelove jako "uznávaný děkan internetových podnikatelů a muže, který doslova napsal knihu o komercializaci internetu."

Strangelove kniha, Říše mysli: Digitální pirátství a antikapitalistické hnutí (University of Toronto Press, 2005), generální guvernér Award finalista v kategorii non-fiction, zkoumá sociální dopady pirátství a obsahem, generované . Strangelove přednáší na University of Ottawa oddělení komunikace.

-------------------------------- ^ _

Polymorfní analýza Virus - Nicolas Brulez (improvizovaná diskuse)

NA

Materiál

skluzavky (ODP) | klouzačky (pdf)

Bio

Nicolas je Senior Virus Researcher na Websense Security Labs, kde analýzy počítačových virů, vyvíjí nástroje, a provádí výzkum v oblasti bezpečnosti. Před tím, než byl šéf bezpečnosti pro společnost Digital River / Silicon Realms, kde pracoval na systému ochrany SoftwarePassport / Armadillo po dobu 4 let a specializoval se na anti-reverzní inženýrství na obranu proti útokům na softwarové ochrany.

On byl dělal reverzní inženýrství pro více než deset let a je aktivním účastníkem v oblasti virových hrozeb výzkumu, jehož výsledky jsou používány různými antivirovými společnostmi a pravidelně píše pro francouzský časopis zabezpečení MISC.

Nicolas je autorem řady prací, přednášel na programování montáže a reverzní inženýrství na různých počítač inženýrských škol, a často přednáší na mezinárodních bezpečnostních konferencích, včetně: RECON (Kanada), PacSec (Japonsko), RuxCon (Austrálie), SSTIC (Francie) Virus Bulletin, Toorcon (USA), a APWG (Brusel).

Nicolas je přidruženým výzkumným pracovníkem virologie a kryptologie laboratoře "Ecole Supa © rieur et d'Application des převodovky" a také oficiální reverzní inženýrství instruktorem na RECON.

-------------------------------- ^ _

Jak jsem se dozvěděl, reverzní inženýrství s Storm - Pierre-Marc Bureau (Délka: 60 minut)

Storm Worm je rodina malware, který byl k dispozici na internetu po dobu delší než osmnáct měsíců. To přilákalo poměrně dost pozornosti médií díky své obrovské spam kampaně a velikost jeho botnetu. Jeho autoři investovali mnoho času a úsilí k vybudování silného a spolehlivého botnet.

Z technického hlediska, Storm je fascinující analyzovat, protože je v neustálém vývoji. To má několik jedinečných funkcí, jako je infikovaných počítačů dostávají rozkazy od svých regulátorů přes kódované komunikace peer-to-peer. Také binární soubory jsou chráněny s různými anti-ladění a anti-emulace techniky.

Protože jsem začal sledovat vývoj Storm Worm v lednu 2007, to mě naučil o reverzní inženýrství, prohlížeč vykořisťování JavaScript mlžení a síťových forenzní. V této prezentaci jsem se vysvětlit, jak Storm Worm autoři pokoušejí oklamat emulátory používaných antivirových motorů tím, že dělá falešné volání API, ukázat některé z binárních mlžení techniky používané tímto malware a jak je lze vynechat. Pokud jde o zranitelná místa v prohlížeči, ukážu, jak jeden dekóduje popletl kód zneužití pomocí veřejně dostupného JavaScript interpret a show, která zranitelnosti jsou využívány.

Ve druhé části svého vystoupení, jsem se vysvětlit klíčové prvky sítě Storm peer-to-peer a jak pomocí statické analýzy nalézt důležité informace o síti: Podařilo se nám obnovit použitý v kódování sítě rutiny klíč a generování hash rutina používá botnet správce posílat příkazy k jeho botnetu. Na základě těchto informací jsme byli schopni vytvořit nástroj pro připojení k síti, Storm a dozvědět se více o svých autorů a jejich činnosti.

Materiál

skluzavky

Bio

Pierre-Marc Bureau je senior malware výzkumný pracovník antivirus společnosti ESET, LLC. Ve své funkci je zodpovědný identifikovat nové trendy v malwaru a hledání účinných metod v boji proti těmto hrozbám. Před nástupem do společnosti ESET, Pierre-Marc Bureau pracoval pro zabezpečení sítě společnosti, kde byl senior bezpečnostní analytik. Pierre-Marc Bureau ukončil magisterský titul v oboru výpočetní techniky na Ecole Polytechnique v Montrealu v roce 2006 jeho studií zaměřených především na hodnocení výkonnosti malwaru. Ten představil na různých mezinárodních konferencích, včetně INFOSEC Paříži a Virus Bulletin.Jeho hlavním zájmem je reverzní inženýrství, software a síťové bezpečnosti.

-------------------------------- ^ _

RE: Trace - Aplikovaná Reverzní inženýrství na Mac OS X - Tiller Beauchamp (Délka: 60 minut)

Tento dokument musí být podrobně uvedeny nejnovější vývoj v RE: Trace, reverzní inženýrství rámec, založený na Ruby a DTrace. Budeme diskutovat implementace pro pěší a vyhledávání haldy na OS X, trasování jádra a ovladačů a zranitelnosti, zvýraznění formátovací řetězec chyb a využití vlastních aplikací sondy, jako jsou vestavěné do prohlížeče a databázového softwaru.

Materiál

skluzavky | demo haldy | demo zásobník | demo HIDS

Bio

Tiller Beauchamp pracuje jako vedoucí bezpečnostní poradce pro SAIC poskytující bezpečnostní služby auditu až po velké komerční, státní a DoD zákazníky. Jeho odborné oblasti patří penetrační testování sítě, zabezpečení webových aplikací, IPv6 a využít vývoj. Beauchamp získal MS v oboru počítačových věd na University of Oregon se specializací na softwarové inženýrství.Působil jako hlavní vývojář pro Team Defend, SAIC je přenosný počítač a síť obranné cvičení. Beauchamp je také zodpovědný za udržování společnosti penetrační toolkit a penlab.

-------------------------------- ^ _

Sociální inženýrství pro "sociálně nešikovný" - Sharon Conheady a Alex Bayly (Délka: 60 minut)

Sociální inženýrství na "sociálně nešikovný" ukáže, jak dovednosti obyčejně myšlenka jako "geeky" mohou být použity k velkému úspěchu v sociálním inženýrství. Sociální inženýrství je tradičně viděn, a to zejména ve filmech, jako provincie charismatického hackera, které vyžadují pochopení Rapport, Neuro-lingvistické programování, a jiné techniky pro sociální interakci. Tato diskuse se bude demonstrovat, jak obyčejný mág atributy, ať už pravdivé nebo část stereotypu může být použit ku prospěchu sociálního inženýra na cvičení.

Bios

Po vynalezení internetu spolu s Al Gorem, Sharon se přesunul k rozvoji bezpečnostních protokolů, které byly použity na crack 128 bitové šifrování. Udělala to s ne více než počitadlo, kuličkového pera a velkou podložku papíru. Třikrát vítěz Nobelovy ceny, Sharon má břišní tanec a cestování vesmírem. Ne tak docela. Sharon je sociální inženýr / penetrace Tester se sídlem v Londýně.Vystudovala v oboru počítačových věd na Trinity College v Dublinu a MSc v oboru informační bezpečnosti od Westminster University London. Sharon již dříve představen na Recon, IT Security kongres, ISSE / Secure 2007 a SANS Bezpečná Evropa.

Alex je geek a testovací práce ve Velké Británii testování penetrace průmyslu. Pracoval na inženýrských zakázkách sociální finančních institucí, blue chip společností a sportovního vyžití. Nikdy jeden odmítnout možnost lhaní za účelem dosažení zisku, on měl vášeň pro sociální inženýrství a postupů, kdykoli může. Působil jako správce systému a síťový inženýr před pracoval jako bezpečnostní poradce. Alex je přispěvatelem do Johnnyho Longa poslední knize "No Tech Hacking".

-------------------------------- ^ _

Metody pro analýzu škodlivých dokumenty Office - Bruce Dang (Délka: 60 minut)

V posledních několika letech, tam bylo hodně tiskové zpravodajství o cílené útoky a dokumentů Office; nicméně, tam je nedostatek technických informací o těchto útoků (tedy útoků a obranných mechanismů). Tato diskuse má za cíl zajistit:

1) metody analýzy dokumentů Office;

2) Struktura škodlivého dokumentu sady Office;

3) techniky analýzy škodlivých dokumenty sady Office; a

4) techniky k detekci škodlivých dokumenty na drátu.

Materiál

skluzavky

Bio

Bruce Dang je inženýr softwaru pro zabezpečení Secure Windows iniciativy skupiny (SWI) na společnosti Microsoft; jeho každodenní povinnosti patří pomáhá zákazníkům a řešení softwarových zranitelností. Před příchodem do společnosti Microsoft, vystupoval reakci na incidenty, malware analýzu a vývoj nástrojů pro velké firmy.

-------------------------------- ^ _

64-bit Dovoz Přestavba a vybalení - Sébastien Doucet (Délka: 60 minut)

S 64-bit balírny a chrániče byl propuštěn, je v současné době roste potřeba vytvořit nové nástroje pro usnadnění ručního vybalení proces a aby to tak triviální, jak to je teď pro chráněné 32-bitových spustitelných souborů. Já navrhuje dvě zbrusu nové nástroje: CHimpREC a CHimpREC-64, což umožňuje ducha ImpREC žít v co nejlepší kompatibilitu se všemi 64bitové verze operačního systému Windows.

Tato diskuse je o vysvětlení vnitřním fungování kódování 32bitové dovozů Rebuilder a problémy, které vyvstaly v důsledku životního prostředí WoW64 a adresní prostor rozložení randomizace. Dále je uveden přehled rozdílů mezi PE a PE32 + formátů a jejich dopad na portování CHimpREC na 64-bit. Konečně, 2 nebo 3 krátké živé vybalení setkání s různými příklady 64bitových balírny a jak triviální se stalo, aby se s nimi vypořádat pomocí CHimpREC-64.

Materiál

skluzavky | video (lokální odkaz) | video (externí odkaz)

Bio

Sébastien Doucet, aka Tiga, je odborníkem v městských oblastech optických kabelů inženýrských sítí (fancy Cable Guy) a pojistné vědy. Pracuje jako IT Security trenér IITAC - Mezinárodní institut (www.iitac.org), kde dává školení na binárním auditu a IDA Pro.

Jeho instruktážní video série na IDA Pro je dobře známý po celém světě. Je spoluzakladatelem RCE Video portálu (videos.reverse-engineering.net) a moderátor pro crackmes.de a reverzní engineering.net, on je také členem ARTeam (arteam.accessroot.com) a Costco ( www.costco.com). Ve svém volném čase se plánuje mít trochu volného času, nějaký den ve vzdálené budoucnosti.


 
-------------------------------- ^ _

Windows zvýšení úrovně oprávnění pomocí LPC a ALPC rozhraní - Thomas Garnier (Délka: 60 minut)

Tato prezentace adresy hlášené bezpečnostní problémy na obou LPC (Local Procedure Call) a ALPC (Advanced Local Procedure Call), rozhraní pro systém Microsoft Windows. První chyba je MS08-002 (LSASS místní zvýšení úrovně oprávnění) a druhá je MS07-066 (ALPC jádro spuštění kódu). Tato diskuse představuje jejich vyhledávání, využívání a diskutovat o tom, jak by mohla být konstrukce operační systém upraven tak, aby jejich blokování.

LPC rozhraní je interní komunikace komponent jádra systému Windows. Toto rozhraní se používá bez dokladů v pozadí známé Windows API. Většina komponent systému pomocí LPC rozhraní pro komunikaci s nižšími programy úrovně zabezpečení. Windows Vista přepracované toto rozhraní v nové složky s názvem ALPC. Design ALPC rozhraní bude diskutovat vidět jeho zlepšení v místní bezpečnost komunikace.

Materiál

papír (pdf) | klouzačky (pdf)

Bios

Thomas Garnier je výzkumný inženýr v SkyRecon systémů výzkumu a vývoje týmu. Během posledního roku se objevil mnoho slabých míst, která mají za následek několik bulletinů společnosti Microsoft. Zajímá se o reverzní inženýrství, výzkumu zranitelnosti a design ochrany.

-------------------------------- ^ _

Pod iHood - Cameron Hotchkies (Délka: 60 minut)

Podíl na trhu pro zařízení Apple značně vzrostl v průběhu posledních několika let, ale většina reverzní inženýrství témata se nadále zaměřují na platformách Microsoft. Tato přednáška bude obsahovat to, co je třeba začít obrácení software na OS X. To bude zahrnovat náměty nástrojů na výzkumníka na základě jablečného k dispozici, jak Objective-C funguje a jak to vypadá v binární, základy Mach- Formát O souboru včetně nelegální _OBJC části a srovnávání aplikací systému Windows a OS X protějšky.

Materiál

skluzavky | ihood.py

Bio

Cameron byl zranitelnost badatel TippingPoint DVLabs od roku 2005 jeho každodenní úkoly, ověřování, analýzu Zero Day Initiative podání, vnitřní bezpečnostní audity výrobku a spoustu reverzního inženýrství. Získal bakalářský titul v oboru softwarového inženýrství z McMaster University.

-------------------------------- ^ _

Deobfuscator - Eric D. Laspe (Délka: 30 minut)

Deobfuscator je IDA Pro plug-in, který neutralizuje anti-demontáž kód a transformuje popletl kód zjednodušený kód v aktuální binární. Tento plug-in používá emulaci techniky k odstranění zatemnil kód a nahradit ji zjednodušeným, transformované ekvivalent. Může být použita samostatně modifikovat IDA Pro databázi pro statickou analýzu, nebo ve spojení s binárním injektorem pro usnadnění dynamickou analýzu. Vytvořili jsme tento nástroj v posouzení silných ochran a malware analýzy pro DoD vládních institucí a komerčních firem. Od svého založení, Deobfuscator bylo prokázáno, že snížení analýzu úkolů, které dříve trvalo dny do těch, které se pouhých pár minut. Deobfuscator je v současné době nahradit více než 49 různých zmatek vzory s zjednodušený kód, který zlepšuje demontáž a člověkem čitelnost. Většina z těchto modelů jsou obecné povahy - není omezena na jednoduché kukátkem pozorování. Deobfuscator může vyřešit: mnoho forem anti-demontáž, jako je skok řetězy, push-vrátí, volání vrátí, vrátí záhyby, skok indirects, skočí do pokynů; několik typů pohybu a stohovat manipulační obfuscations, které se snaží zamaskovat tok dat; a zbytečné operace nemá žádný čistý dopad. Ve svých "agresivní" a "ultra" režimy, Deobfuscator sleduje jeden nebo více registrů živost, respektive, a může nahradit "mrtvý kód" s nop instrukcí. Jeho "nop odstranění" a "kolaps" režimy pak mohou být použity k dalšímu zjednodušení zobrazení deobfuscated kódu.

Materiál

skluzavky

Bio

Eric Laspe pracuje na Riverside Výzkumném ústavu po dobu dvou let. Od svého nástupu do své Červený tým v roce 2006, on porušil softwarové ochrany pro komerční subjekty, reverzní inženýrství malware, a pracoval s týmem rozvíjející řadu inovativních RE nástrojů. Eric má BS výpočetní techniky od Wright State University a spoluautorem IEEE papíry na binární odstranění zmatku a speciálních ladicích nástrojů.

-------------------------------- ^ _

Obcházení bezpečnostní ochrany podle Backdooring libc - Anthony de Almeida Lopes (Délka: 30 minut)

V tomto krátkém rozhovoru, popíšu několik způsobů získání oprávnění uživatele root po získání normální uživatelský účet, aniž by ve skutečnosti využívá anyhting kromě vlastních nedostatků v typickém modelu zabezpečení systému UNIX. To je proof of concept diskuse podnítit diskusi a motivaci k realizaci lepší modely zabezpečení v systému UNIX.

Materiál

skluzavky | klouzačky (on-line zobrazení)

Bio

Anthony de Almeida Lopes je zabezpečení počítače výzkumník a vývojář softwaru na Outpost24 AB ve Švédsku. Před prací s Outpost24 AB, pracoval pro dyad bezpečnost, v Kalifornii. Jeho výzkum se zaměřuje na vývoj nových technologií a virus ochranu a nespecifické využívání systémů UNIX. Dříve, v RECON 2006, dal řeč na proof of concept viru, který využil oblastí NOP ve spustitelných generovány pro x86 UNIX, Windows a Mac OS X systémy za účelem zvýšení obtížnosti při detekci.

-------------------------------- ^

Reverzní inženýrství dynamických jazyků, se zaměřením na Python - Aaron Portnoy a Ali Rizvi-Santiago (Délka: 60 minut)

Každý den více a více programátoři dělají přechod od tradičních sestavených jazycích, jako je C více moderní dynamická a interpretovány jazyky jako Ruby a Python. Vidíme software v rozsahu od videoher bezpečnostních nástrojů psaných v těchto jazycích vyšší úrovně a často vydána v binární podobě tak, aby chránil zdroj. Tato diskuse se zaměřuje na Python s konkrétní diskuse se točí kolem těžby dynamické informace typu, demontáž předměty kódu, a kterým se mění runtime stavu staticky.Reálný svět složitý příklad je prokázána, hacking cheaty do MMORPG napsaný v Pythonu. To má za následek veselý videoukázek.

Materiál

skluzavky (ppt) | klouzačky (pdf)

Bios

Aaron Portnoy je výzkumník v bezpečnostní výzkumné skupiny společnosti TippingPoint. Jeho povinnosti zahrnují reverzní inženýrství, objev zranitelnosti a vývoj nástrojů. Aaron objevil kritické zranitelnosti, které ovlivňují celou řadu podnikových dodavatelů, včetně: Microsoft, RSA, Adobe, Citrix, Symantec, Hewlett-Packard, IBM a další. Kromě toho, Aaron mluvil v blackhat USA, blackhat Japonsku, Microsoft BlueHat, Toorcon Seattlu a DeepSec.

Ali Rizvi-Santiago je výzkumník v bezpečnostní výzkumné skupiny společnosti TippingPoint. Jeho povinnosti zahrnují vývoj nástrojů RE souvisejí a uplatnění RE jeho každodenní úkoly. Před TippingPoint mu fušoval do různých technologií souvisejících pozic, nasazení / podporu RAD komunikační zařízení, v čele síť pro řešení přenosu dat a vývoj aplikací GIS v rámci Space Imaging.


 
-------------------------------- ^ _

NetWare přetečení zásobníku jádra vykořisťování - Nicolas Pouvesle (Délka: 60 minut)

Ačkoli mnoho výzkumů bylo provedeno na využití vzdálené přetečení vyrovnávací paměti v režimu jádra na moderních systémů, jako jsou Windows, Linux a BSD, tam je opravdu málo publikací o využití na jiných platformách, které jsou stále běžné v podnikových sítích.

Hlavní přístup v režimu jádra vykořisťování je vnést užitečné zatížení v uživatelském režimu. Tato metoda umožňuje znovu shellcodes a užitečné zatížení nemusí být nejlepším řešením, pokud je systém jádro centric.

Účelem tohoto příspěvku je popsat běžné i méně běžné využívání, techniky, kernel-Land použity na NetWare operační systém.Jako takový, bude kladen důraz na vysvětlení plného režimu jádra Stager a dvou různých fázích režimu jádra, shell kód a adduser užitečného zatížení.

Materiál

skluzavky

Bio

Nicolas Pouvesle je bezpečnostní výzkumník Tenable Network Security, kde pracuje na analýze slabých míst a reverzní inženýrství.Zatímco na Tenable, Nicolas částečně implementován a obrátil mnoho protokolů, jako je SMB, Oracle, WMI, Skype. On také psal několik interních nástrojů používaných Tenable výzkumný tým s cílem zlepšit analýzu zranitelnosti.

-------------------------------- ^ _

Helikaon Linux Debuger - Jason Raber (Délka: 60 minut)

Linux OS není imunní vůči malware a viry. Zpětně analyzovat čelí bojuje i když anti-ladění ochrany, když se snaží pochopit tyto binární soubory. To může být zdlouhavý a časově náročný proces. COTS debuggers, jako GDB a IDA Pro, jsou zaznamenány v systému Linux s využitím různých anti-techniky ladění. Vytvořil jsem kradmý Linux-driver-založený debugger s názvem "Helikaon", který má pomoci zpětného inženýrství při ladění spustitelných, aniž by byl zjištěn. Hodnocení Helikaon vstřikuje výskok v běhu z půdy jádra do běžícího procesu uživatelského režimu spíše než při použití standardních ladicí zarážky jako "INT 3" nebo DR0-DR7 hardwarových registrů. Zjistěte si, alternativní metody pro dynamické analýzy v prostředí systému Linux.

Materiál

skluzavky

Bio

I slouží jako technické vedení pro Riverside Výzkumný ústav Červený tým, který poskytuje vládní a komerční subjekty s odbornou podporou bezpečnostní software. Zaměření oblasti patří:

o Reverse Engineering: specializuje na extrahování duševního vlastnictví ze širokého spektra software. To zahrnuje uživatelské aplikace, DLL, ovladače jádra OS a firmware. Tento software může být založeno na různých platformách (Windows / Linux / Mac / Embedded, atd).

o Analýza malware / virus / Rootkit: Identifikuje a analyzuje narušení software pro charakterizaci a / nebo neutralizovat hrozbu.

Jsem strávil sedm let ve světě reverzní inženýrství, před pěti letech práce v Texas Instruments rozvíjí Compiler nástrojů pro DSP (generátory kódu, montérů, linkeru, Disassemblery, atd.) Rozvoj překladače C po dobu pěti let před reverzní inženýrství poskytuje dobrý základ pro porozumění strojového jazyka a hardwaru, které mají být využita v rámci reverzních technických problémech.


 
-------------------------------- ^ _

Dvě velmi malé reverzní inženýrství nástroje: python rozebrání motoru a iterativní reverzní inženýrství rámec - Gera (Délka: 30 minut)

Před pár lety v Recon 2006 Pedram Amini prezentovány PAIMEI. Toto úžasné rámec závisí na IDA rozebrat binární soubory a získat funkce a základní informace o bloku. První nástroj, který představují, je neúplný náhrada IDA (v tomto kontextu) s extra vyladit, jak jump-in-the-middle-of-instrukce mlžení je zpracována.

Druhý nástroj může být užitečný při couvání z binárního zpět do C kódu. Myšlenka je velmi jednoduchá: obraceče čte montáž a zapisuje C, jednu funkci v době, tento nový obrátil C kód může být sestaven jako fragment a relinked do původní žádosti.Výsledkem je hybridní aplikace, část původní část nového. Tato nová aplikace lze ladit, v sestavě pro původní části, a v C pro novou reverzní části. Hlavní myšlenkou je mít, po celou dobu, pracovní verzi aplikace, která je opakovaně reverzní inženýrství do C, přičemž obraceč nemusí čekat až do konce otestovat výsledek.

UPOZORNĚNÍ: Jednoduchost implementace bude pravděpodobně vás zklamat.

Materiál

skluzavky | iterde nástroje | Cuchi nářadí

Bio

V posledních 15 letech bylo Gerardo "Gera" Richarte věnuje počítačové bezpečnosti. Mluvil na různých konferencích, včetně blackhat, CanSecWest a PacSec mezi ostatními, a naučil jazyk symbolických instrukcí a využívat psaní třídy pro soukromé, veřejné a vojenské studentů. Za posledních 12 let on byl součástí společnosti Core Security Technologies, kde byl Sr Security Consulting, Sr Security Software Engineer a reverzní inženýrství, a byl funkční, za posledních 5 let, kdy Expert Exploit Writer, technicky vedoucí využívat psaní tým pro CORE IMPACT produktu. Během všech těchto let, on publikoval některé články, rady a open source nástroje jako pokorný děkuji komunitě, aby dal pro něj tolik.

-------------------------------- ^ _

Vytvoření kód mlžení virtuálních počítačů - Craig Smith (Délka: 60 minut)

Jedná se o VM Stvoření 101 diskuse. Podrobnosti diskuse, co virtuální stroj a jak jsou používány. Zaměřuje se na vestavěné virtuálních strojů používaných pro kód zmatek v pojmech. Konkrétní příklady kódování jsou uvedeny na to, jak napsat svůj vlastní operační kód tlumočníka. Ukázky kódu, jak vložit váš nově vytvořený virtuální počítač do aplikace C je také k dispozici. Další zmatek techniky pro VM jsou diskutovány, a přestože se jedná o 101 Samozřejmě je nutné řádné pochopení x86 assembleru.

Materiál

skluzavky | minivm | minivmcrackme

Bio

Craig Smith je Senior Application Security Consultant ve Neohapsis. Craig se specializuje na reverzní inženýrství nástrojů a technik s důrazem na malware a ochranných programů. Před nástupem do Neohapsis se zaměřil na tvorbu forenzní nástroje a automatizační systémy pro lokalizaci bezpečnostní chyby v binární spustitelné soubory. Nástroje a techniky použité v prezentaci jsou téměř vždy zdarma a open source. Doporučuje se předchozí znalosti na x86 assembleru.

-------------------------------- ^ _

RE přes Adobe Acrobat Reader pomocí Immunity Debugger - Pablo Sole (Délka: 60 minut)

V současné době, výzkum v oblasti bezpečnosti a zranitelnosti je stále konkrétnější a útoky má tendenci být aplikace zaměřené.Blind skenování pomocí generických fuzzers a automatizované generické nástroje nemají významnou úroveň úspěchu už. Prodejci mají tendenci používat více a více těchto nástrojů jako testbedů na každé vydání. Je nutné vytvořit specializované programy, které pracují přímo s debugger a upravit své chování podle hluboké informace o protokolech a jiném stavu programu. S tímto úkolem v mysli jsme vytvořili Odolnost Debugger, zdarma distribuovaný ladicí program, plně skriptu moci, který spojuje sílu rychlé a praktické GUI s robustnost a programových vlastností Pythonu. Prezentace se bude týkat jak používat Immunity Debugger k dosažení tohoto cíle, potápění hluboko do vnitřních Adobe Acrobat Reader a jeho motoru JavaScriptu jako případová studie.Unleashed informace o tom, jak najít metody implementované každý objekt JS a dekódovat argumenty jednotlivých metod. Se všemi těmito informacemi společně se diskuse vést publikum k vypracování vlastní fuzzer kombinující SPIKE a informace o JS dosáhnout maximálního cíle, hledání chyb.

Materiál

skluzavky (ODP) | klouzačky (pdf)

Bio

Pablo Sole (Cordoba, Argentina) je senior bezpečnostní výzkumník imunitu, as Má zázemí v ISP řízení technologií. Poté, co řídil několik středně velkým poskytovatelům internetových služeb se přestěhoval do Informar Argentina SA, kde byl zodpovědný za migraci bezpečnostní infrastrukturu IPSec a ověřování na základě certifikátů. Pablo je také zkušený reverzní inženýr, správce systému a kód auditor. Jeho role v imunita zahrnuje reverzní inženýrství, extrakce dat, vývoj zranitelnosti a výzkum v oblasti bezpečnosti. Napsal vlastní nástroje pro posílení imunity klienty stejně jako několik binárních nástrojů analýzy pro imunitu Debugger.

-------------------------------- ^ _

BlackBox couvání XSS Filters - Alexander Sotirov (Délka: 60 minut)

Mnozí z nás se omezit na to, co už víme, a ne hledat nové Challanges. Strávil jsem dlouhou dobu couvání kód x86, ale existuje mnoho dalších zajímavých cílů venku. Cross site scripting útoky a webové bezpečnosti obecně jsou vnímány nejsou zajímavé dost napevno obraceče, ale mluvit se snaží rozptýlit tento pojem.

Všichni víme, že webové aplikace jsou budoucnost, ale tam, kde to jsme, Obraceče, fit v tomto odvážném novém světě? Budu prezentovat Challanges Blackbox couvání a krásu rekonstrukci složitých algoritmů založených na nic jiného než na některých pečlivě vybraných vstupů a výstupů. Budu demonstrovat nástroje jsem napsal, aby se to jednodušší a možná klesnout o několik 0den stejně:-)

Materiál

skluzavky | refltr 1,0

Bio

Alexander Sotirov byl zapojený do počítačové bezpečnosti od roku 1998, kdy začal přispívat k Phreedom Magazine, bulharské podzemní technické publikace. Za posledních deset let pracuje na moderní využití, reverzní inženýrství a výzkumu zranitelnosti.Jeho poslední práce zahrnuje objev zranitelnosti ANI v systému Windows Vista a rozvoj Heap Feng Shui prohlížeč využívání techniky. Alexander je jedním z organizátorů Pwnie Awards. V současné době je zaměstnán jako bezpečnostní výzkumník na VMware.

-------------------------------- ^ _

Úvod do IDA Pro pro uživatele Ollydbg - Sébastien Doucet - IITAC

Shrnutí: This 3-část školení se zaměřuje na zkoumání rozdílů mezi Ollydbg a IDA Pro a používat ke svému prospěchu. Je určen pro osoby, které jsou již obeznámeni s reverzní inženýrství pomocí Ollydbg nebo jiné podobné ladicí ale nikdy plně prozkoumaných svět IDA Pro.

Toto školení bude v průběhu 3 polední přestávky dojít. Oběd se podává ve školící místnosti.

Předpoklady

Pokud jste registrovaní na průzkumné konferenci a rád bych, aby se zúčastnili IITAC Workshop prosím pošlete nám e-mail se svým křestním jménem, ​​příjmením a e-mail na adresu: Registrace. iitacworkshop2008 recon cx

K účasti na této třídy, budete potřebovat právní IDA Pro licenci, virtuálního počítače Windows a Linux Virtual Machine.

Dostupnost: 20 míst (10 míst v režimu FIFO 10 míst v rand (režim))

Část 1: Grafické zobrazení a Univerzální použití

Tato úvodní část se zaměřuje na užívání svého Ollydbg znalosti a úspěšně aplikovat to na Ida v grafickém zobrazení. Další IDA-specifické vlastnosti a techniky bude také vidět v detailech. Dozvíte se, jak efektivně analyzovat a restrukturalizaci grafy zjednodušit již couvání projektů.

Část 2: Cross-platform a vzdálené ladění

Tato část je o použití vzdálené schopnosti ladění Ida a to díky využívání virtuálních strojů (Windows, Linux) nebo emulátorů (WinCE) snadno umožní cross-platformní ladění a OS-specifické pro sledování chyb. Dozvíte se, jak se váš notebook do univerzální plug-n-debug couvání stanice.

Část 3: Grafické Vybalení

Tato závěrečná část je o použití Ida je grafické zobrazení zjednodušit vybalení proces a jak používat pluginy a skripty k dalšímu zkrácení vybalení čas. Dozvíte se, jak rychle rozbalit spustitelné soubory a použít obvyklé Ollydbg metody.

Bio

Sébastien Doucet je odborníkem v městských oblastech optických kabelů inženýrských sítí (fancy Cable Guy) a pojistné vědy.Pracuje jako IT Security trenér IITAC Mezinárodního institutu (www.iitac.org), kde dává školení na binárním auditu a IDA Pro.Jeho instruktážní video série na IDA Pro je dobře známý po celém světě. Je spoluzakladatelem RCE Video portálu (video.reverse-engineering.net) a moderátor pro crackmes.de a reverzní engineering.net, on je také členem ARTeam (arteam.accessroot.com) a Costco ( www.costco.com). Ve svém volném čase se plánuje mít trochu volného času, nějaký den ve vzdálené budoucnosti.