REcon 2010
Jsme potěšeni, že můžeme oznámit 2010 konferenční lineup. Další přednášky budou doplněny tak, jak jsou potvrzena.
Konference se bude skládat z rozhovorů mezi 20 a 60 minut na jedné stopy, a bude mít bleskové rozhovory během Recon strany.
Richard Thieme - etické aspekty inteligence a informační bezpečnosti
Pierre-Marc Bureau a Joan Calvet - Pochopení Swizzor je zmatek schéma Stephan Chenette - Použití Fireshark analyzovat nebezpečné webové servery (20 minut) Ero Carrera a Jose Duart - Packer Genetika: Sobecký kód Gynvael Coldwind a Unavowed - Syndicate Wars přístavu: Jak portu DOS hra moderních systémů Dino Dai Zovi - Mac OS X Zpět orientované Využití Nicolas Falliere - zpětný Trojan.Mebroot je zmatek Yoann Guillot a Alexandre Gazet - Metasm pocity (30 minut) Travis Goodspeed - stavební kování pro objevování hluboké vestavěné systémy Sean Heelan - Použití skvrna analýza a dokazování vět k Exploit rozvoje Alex Ionescu - Debugger bázi Target-to-host Cross-systém napadne Ricky Lawshae - Sbíráme elektronické zámky s použitím protokolu TCP sekvence narození (20 minut) Assaf Nativ - Analýza paměti - Pohled do oka bitů Danny Quist - Reverzní inženýrství s Hypervisory Deviant Ollam - Hledání Chinks v brnění - Reverse-Engineering Zámky Sebastian Porst - Jak opravdu poplést vaše malware soubory PDF Jason Cheatham a Jason Räber - reverzní inženýrství s Hardwarové ladiče (20 minut) Stephen Ridley - Únik Sandbox Igor Skochinsky - Úvod do Embedded Reverse Engineering pro PC reversers Michael Sokolov - SDSL reverzní inženýrství Jonathan Stuart - DMS, 5ESS a Datakit VCS II: rozhraní a vestavby William Whistler - Reverzní lepší Georg Wicherski - dirtbox, vysoce škálovatelné x86 / Windows Emulator Sebastian Wilhelm Graf - rainbow tables znovu zavedena
-------------------------------- ^ _
Pronikavý osvětlení toho, jak transformační motory informačních technologií změnit své náboženské struktury, duchovní rámců a body etického odkazu, i když se je snažíme aplikovat do nového lidstva, tedy osoby a organizační struktury, celou cestu na vrchol zeměpisných politické reality, které jsou morphing v důsledku jejich symbióze s těmito technologiemi. Nejen, že to, co vidíme, se mění, ale čočky přes které vidíme, se mění také proto, že oči, které vidí v nich se mění i ... Thieme se těmito otázkami zabýval nejprve na fórum svolané Bill Moyers na náboženství a technologie v New Yorku a na aril sympoziu na stejné téma na MIT, před mnoha lety.
Richard Thieme publikoval stovky článků, desítky povídek, dvě knihy přicházely další a dal několik tisíc projevy. Hovoří profesionálně o výzvy, které přináší nové technologie a do budoucna, jak redesign, abychom se těmto výzvám čelit, a kreativity v reakci na radikální změnu. Mnoho nedávných vystoupení se zabývala bezpečnostní a zpravodajské otázky pro odborníky na celém světě. On keynoted konference v Sydney a Brisbane, Wellington a Auckland, Dublinu a Berlíně, Amsterdamu a Rotterdamu, Izraeli a USA. Klienti se pohybují od GE, Medtronic, a Microsoft, aby Neohapsis, Network Flight Recorder a Synapse / Centrum pro povýšení inteligentních systémů na FBI, USA Dept státní pokladny. a tajné služby Spojených států. Mluvil na armádní informační technologie americké agentury, host přednášel pro postgraduální seminář na Purdue je CERIAS a mluví o technologii, písemnictví a kultury Vážení Reproduktory řady z University of Texas. Poslední projevy řeší posun identity ve světle transformujících technologií, biohacking a "ufologie 101," Podívej se na zbytkových dat po dezinformační, dezinformace, a kaly jsou odstraněny z dané domény.
-------------------------------- ^ _
Swizzor je malware rodina, která byla poprvé k vidění na internetu v roce 2002 a od té doby výzkumníci nasbírali miliony různých binárních vzorků. Důvod, proč tak mnoho různých soubory existují, že Swizzor používá silný server-side binární mlžení se vyhnout antivirový software a zpomalit ruční reverzní inženýrství.
V této přednášce se budeme prezentovat sadu nástrojů a technik jsme vyvinuli pochopit a porazit Swizzor je binární ochranu. Po provedení, zakázková balič prochází více než 40 milionů instrukcí před dosažením nějakou užitečnou kód. Chcete-li se s tím vypořádat, jsme vytvořili trasovací rámec, který staví komplexní časovou osu provádění procesů, včetně paměťových úprav.
Vytvořili jsme také vizualizační nástroje pro rychle identifikovat klíčové prvky rozbalovacího procesu, aniž byste museli číst jakýkoli montážní instrukce. Jsme vybudovali inferenční stroj automaticky identifikovat známé vzory v paměti, jako dešifrovací klíče, zbytečné hodnot a řídicích struktur používaných balírny. S přihlédnutím k přístupu do paměti a úpravu kódu, jsme byli schopni obejít tradiční syntaktickou mlžení. Proto jsme dosáhli komplexní pochopení rozbalovacího procesu a byli schopni snížit potřebu ruční analýzu nových binárních souborů.
Na našeho nejlepšího vědomí, nikdo hluboce zkoumal Swizzor malware rodinu a její vazby na pochybných reklamních společností.Vysvětlíme vám, jak Swizzor a jeho adware komponenty jsou instalovány do partnerského programu na financování rozvoje dobře známých aplikací. Ukážeme komunikační protokol používaný Swizzor načíst binární aktualizace a jak různé balíčky, které byly rozmístěny v závislosti na programu příslušnosti.
Pierre-Marc Bureau je vědecký pracovník antivirové společnosti ESET. Ve své funkci je zodpovědný vyšetřování trendy v malwaru a hledání účinných metod v boji proti těmto hrozbám. Před nástupem do společnosti ESET, Pierre-Marc Bureau pracoval pro zabezpečení sítě společnosti, kde byl senior bezpečnostní analytik. Pierre-Marc Bureau ukončil magisterský titul v oboru výpočetní techniky na Ecole Polytechnique v Montrealu v roce 2006 jeho studií zaměřených především na hodnocení výkonnosti malwaru.Ten představil na různých mezinárodních konferencích, včetně Recon, Infosec a Virus Bulletin. Jeho hlavní zájmy spočívají ve zpětném inženýrství, aplikace a zabezpečení sítě.
Joan Calvet je Ph.D. student na High Security Lab v Loria (Nancy, Francie) a SecSI Lab na Ecole Polytechnique v Montrealu. Jeho hlavním zájmem je malware analýzy, reverzní inženýrství a bezpečnostního softwaru.
-------------------------------- ^ _
V tomto 20minut prezentaci jsem se přezkoumat, open-source nástroj, jsem napsal s názvem Fireshark.
Fireshark byl napsán pro výzkumné pracovníky a bezpečnostních nadšence na pomoc při couvání škodlivý obsah webových stránek, ať už se jedná o stovky, tisíce jsou prostě jedno URL. Umožňuje pohled na všechny aspekty ohrožení nebo škodlivým webových stránek, sledování síťové požadavky / odezvy JS volání funkce a uložení snímku obrazovky, zdrojový kód, a normalizovanou deobfuscated zdrojový kód / DOM zobrazení.
Stephan Chenette je hlavní bezpečnostní výzkumník Websense Security Labs pracuje na detekci malcode techniky. Jeho specialitou je psaní výzkumné nástroje a vyšetřování nové generace nové hrozby. Vydal veřejných analýzy na různé zranitelnosti a malware.
Před nástupem do společnosti Websense, Stephan byl bezpečnostní software engineer po dobu 4 let, kteří pracují v oblasti výzkumu a vývoje produktů ve společnosti eEye Digital Security.
-------------------------------- ^ _
Vybalení automatizace byl napaden v mnoha různými způsoby. V tomto článku navrhujeme novou metodu založenou na detekci unikátními vlastnostmi v nebalené kódu. Použití správné monitorization procesu je možné stanovit, kdy je rozbalení provedeno, a to i v případě, že byly použity více připoutaný Packers.
Ero Carrera je v současné době ředitelem výzkumu Collaborative Security na VirusTotal a reverzní inženýrství automatizace výzkumný pracovník zynamics GmbH (bylo SABRE Security GmbH), domov BinDiff a BinNavi. Při práci na F-Secure se blížil pole klasifikaci malware zavést společný dokument s Gergely Erdélyi na použití genomických metod pro binární strukturální klasifikace.Další projekty on pracoval, patří klíčový výzkum rozbalování. Ero představila na konferencích, jako HackInTheBox, RSA, blackhat a zdroje v přídavku i výuku reverzní inženýrství kurz v blackhat konferencí.
Jose Duart, také známý jako Tora, začali dělat reverzní inženýrství na konci 90. let a je to velký fanoušek smrti seznamu, zen krakování a válečných hrách (jako součást neslavné Sexy pand týmu). Jeho práce byla vždy zaměřena na reverzní inženýrství a ve většině případů použity na několika vedlejších oblastech, jako je anti-forenzní, analýzy chování a optimalizace softwaru. V nedávné době se připojil Zynamics pracovat uvnitř týmu VxClass.
-------------------------------- ^ _
Při prezentaci představíme Port Syndicate Wars (http://swars.vexillium.org/), a podrobně diskutovat o tom, jak jsme se přenesl hru na moderních operačních systémech. Zejména se zaměříme na následující:
1. Metody a infrastruktura pro demontáž LE soubory do recompilable podobě s využitím vlastní disassembler,
2. Vyhledání a nahrazení DOS-specifické funkce s přenosnými ekvivalenty pro grafiky, zvuku a I / O a automatizace procesu spojit neslučitelné konvence volání,
3. Mnoho různých zajímavých chyb a platformy vtípky, které se objevily v době, kdy jsme poslali na tomto projektu.
Gynvael Coldwind je výzkumník, specializující se na reverzní inženýrství, výzkumu zranitelnosti, penetrační testy a programování nástroje. V současné době pracuje s Hispasec, dříve statické unpackerů vytvořen pro anti-virus společnosti.http://gynvael.coldwind.pl/
Unavowed je nadšenec programátor, který rád tráví volný čas, čas na zajímavých projektů svobodného softwaru.
-------------------------------- ^ _
Nejnovejší pokroky ve využití paměti zranitelnosti korupce se točí kolem použití k využívání technik orientovaných na výnos vyhnout non-spustitelné paměti ochranu, jako je Microsoft Zabránění spuštění dat (DEP), CPU s podporou non-executable paměť (NX / XD), a povinný kód -signing například na iPhone OS. Ačkoli nápady za těchto těžebních technik lze vysledovat poměrně daleko do minulosti, se dostává více pozornosti jako non-spustitelné paměti ochrany se více převládající. Tato prezentace bude popisovat, jak lze využívání technik orientovaných na výnos aplikován, aby se vyhnula non-spustitelné paměti ochranu v 32-bit x86 procesů v systému Mac OS X Leopard a Snow Leopard. Zatímco většina procesů v systému Snow Leopard jsou 64-bit x64 procesy, mnoho klíčových částí na straně klienta útoku zůstane 32-bit x86 procesů (pluginy webového prohlížeče třetí strany pro Safari, Mozilla Firefox a Google Chrome). V neposlední řadě bude prezentace uzavřít s přehledem hlavních rozdílů ve využívání životního prostředí mezi 32-bit a 64-bitové procesy na Snow Leopard, který podrobně popisuje 64bitové procesy jsou složitější využít ve výchozím nastavení.
Dino Dai Zovi, v současné době nezávislý bezpečnostní konzultant a výzkumný pracovník, který pracuje v oblasti informační bezpečnosti na více než 9 let, kteří mají zkušenosti v červeném teaming, penetrační testy, bezpečnostní software, a řízení informační bezpečnosti. Pan Dai Zovi je také pravidelným řečníkem na konferencích v oblasti informační bezpečnosti, který předložil svůj nezávislý výzkum o využívání techniky k poškození paměti, 802,11 bezdrátovým útokům klientů, a Intel VT-x virtualizace rootkity přes posledních 10 let na konferencích po celém světě, včetně DEFCON, blackhat , a CanSecWest. Je spoluautorem knihy "The Mac Hackerův Handbook" (Wiley, 2009) a "The Art of testování softwaru zabezpečení" (Addison-Wesley, 2006). V roce 2008, eWEEK označil jej za jeden z 15 nejvlivnějších lidí v oblasti bezpečnosti. On je možná nejlépe známý v oblasti informační bezpečnosti a Mac komunity pro vítězství v první PWN2OWN soutěž na CanSecWest 2007
-------------------------------- ^ _
Trojan.Mebroot je jedním z nejkomplexnějších malware jsme viděli v minulých letech. Je infikuje MBR, nezanechává žádné stopy na disku, dělá vše, co v režimu jádra, a používá komplexní metodu mlžení skrývat klíčové rutiny ovladače z očí analytiků.
V této prezentaci se zaměřím na systému mlžení a představují způsob (pomocí statické analýzy a dílčí emulace) na reverzní inženýrství to, aby byla obnovena popletl funkce zpět, nebo v blízkosti jejich původní podobě.
Studoval jsem na INSA v Toulouse, ve Francii, v oddělení výpočetní techniky; Po několika cestách do zahraničí (stáže, výměnný program) a absolventů můj MSc v roce 2006 jsem se přestěhoval do Dublinu v Irsku pracovat na systému Symantec Security Response. Přestěhoval jsem se do Paříže, Francie před pár lety, kdy jsem pracoval jako analytik malware / softwarový inženýr pro odpověď. Vždy se zajímal o počítačové bezpečnosti a low-level témat, Symantec blogu http://www.symantec.com/connect/blogs/nicolas-falliere a mám také osobní blog na http://0x5a4d.blogspot.com.
-------------------------------- ^ _
Metasm je open source rámec ruby vyvinutý Yoann Guillot. Může: pracovat s binárními soubory, montáž, demontáž, ladění spuštěné procesy, manipulovat C zdrojový kód, hrát na ruby tlumočníka, a spoustu dalších věcí. Naše diskuse následuje jednoduchý pokyn založený na skutečné životní případ: vývoj kódu značkovače. Od triviální algoritmus trasování, ukážeme, že použití Metasm umožňuje efektivně budovat multi-platform nástroje, pak se rozšíří svou kapacitu tím, že výhody nativní Windows API. Na závěr budeme používat nástroj pro ladění firmwaru síťové karty, běží na NIC a ne na hlavním procesoru.
Alexandre Gazet je v současné době pracuje pro laboratorní Sogeti ESEC výzkumu a vývoje, ve Francii. On je IT bezpečnosti výzkumník v laboratoři ESEC téměř tři roky.
Yoann Guillot je v současné době pracuje pro laboratorní Sogeti ESEC výzkumu a vývoje, ve Francii. On je IT bezpečnosti výzkumník v laboratoři ESEC téměř tři roky. Yoann je autorem binárního manipulační rámci Metasm.
-------------------------------- ^ _
Před využitím jakéhokoli systému, je nutné mít k dispozici nástroje - ladicí, Disassemblery, emulátory, paketů štěnicemi a autobusové adaptéry - pro tuto práci. V low-napájení vestavěných systémů, provádění obětí protokolů je často těžší než provádění útok, jako výzkumník často ocitá jako úplně první osoba, která práci na dané platformě.
Tato přednáška se týká rychlý rozvoj nástrojů pro využívání a zvrácení vestavěných systémů, soustředěný kolem konkrétní příklad projektu GoodFET. Příklady zahrnují napětí glitcher s rozlišením nanosekundy, rádio ovladač, který funguje na základě hardwarového debuggeru a všechny komponenty potřebné pro čtení, psaní, ladění, šňupání a injekční přístroje na baterie.
Autor přinese nástroje a cíle, na konferenci pro ty, kteří mají zájem ve snaze tyto techniky z první ruky.
Travis Goodspeed je sousedská inženýr Tennessee tvaru, elektronické přezky na řemenu z jižní Appalachia. On hacky 8-bitové a 16-bitové embedded systémů, zejména těch, které používají v ZigBee a Smart Grid. Začal GoodFET, open-source programátor a debugger pro MSP430, AVR, PIC, Chipcon, ARM7, SPI Flash a další čipy. To také paket čichá ZigBee a odolnost rádiové pakety, když k tomu sklony.
-------------------------------- ^ _
Jak reverzní inženýři a využívat spisovatele trávíme většinu našeho času se snaží osvětlit vztahy mezi vstupními daty, provedených cest a hodnotami, které vidíme v paměti / registry na později. Tato práce může být často zdlouhavé, a to zejména v přítomnosti rozsáhlé aritmetické / logické modifikaci vstupních dat a složitých podmínkách.
Použití nedávné (a ne tak nedávné) pokroky v run-time instrumentaci můžeme jít dlouhou cestu směrem k automatizaci procesu sledování vstupních dat a jeho vliv na provedení. V této přednášce budeme diskutovat možné přístupy k řešení tohoto problému prostřednictvím analýzy nakazit. Řešení budeme diskutovat, jsou užitečné v mnoha situacích například stanovení soubor podmíněných skoků pod naší kontrolou, objevování buffery v paměti, které jsou užitečné pro vstřikování shell kód, sledování parametrů do potenciálně nebezpečných funkcí volání, objevování "špatné" byty pro exploity a tak dále .
V návaznosti na to jsme se ponořit do výstavby logických vzorců, které vyjadřují vztahy mezi vstupem a dat v paměti a způsoby, jak mohou být tyto vzorce manipulovat a řešit zajímavé výsledky. V závislosti na tom, jak manipulovat s původní formulí můžeme použít dokazovačů automaticky vyřešit mnoho problémů například "roztřepení" aritmetické / logické technické změny na vstupu, generování vstupy, které vyvolávají specifické cesty, objevování hranic na daných proměnných, a tak dále.
Sean je bezpečnostní výzkumník s imunitou. Jeho primární zájmy jsou ve verifikaci software / program pro analýzu a její aplikace na detekci zranitelností, reverzní inženýrství a využít vývoj. Před nástupem imunity Sean byl student na univerzitě v Oxfordu, kde jeho výzkum zaměřený na kombinaci analýzy datových toků a rozhodovací postupy run-time pro využívání generaci.
-------------------------------- ^ _
Tato přednáška představí zásadní konstrukční chybu ve Windows KD (Kernel Debugger) protokolu, který je realizován ve všech verzích systému Windows, stejně jako Xbox a Xbox 360, Windows CE, Singularity a některé EFI / EXDI hardware. Tato chyba umožňuje útočníkovi spuštění v cílovém systému k útoku na jakékoliv hostitele spuštěním KD kompatibilní ladicí program, přejezd stroje izolační hranice stejně jako hranice VM, bez ohledu na virtualizační produkt v provozu, ať už je to VMWare nebo Virtual Box.Tento design chyba umožňuje cíl provádět libovolné příkazy na počítači, včetně spuštění kódu a místní modifikaci souboru, přes stealth a tajné kanál, který splní otisky prstů, protože používá legitimně implementované funkce, aniž by došlo k obvyklé zásobníku nebo přetečení vyrovnávací paměti. Tato prezentace se bude týkat také technickou analýzu protokolu KD a jak to může snadno být prováděny na horní části aplikace, která napodobuje daný operační systém nebo architekturu, nebo na vrcholu OS sám. V neposlední řadě bude mít technik, jak zmírnit takový útok. S více a více výzkumníci bezpečnostní rozhodly použít virtuální počítače analyzovat a ladit malware, nebezpečí takové vady, je zřejmé, odstraňování extra bezpečnost udělené na hranici izolace a otočením proti hostiteli.
Alex je spoluautorem Windows niternosti 5. vydání. Vyučuje OS Windows vestavby zaměstnancům společnosti a dalšími organizacemi po celém světě. On je zakladatel Winsider Semináře a řešení as, specializující se na systémový software nízké hladiny pro správce a vývojáře. Alex byl vedoucí kernel developer pro ReactOS, open-source klon Windows XP / 2003 písemné od začátku, kde on psal většinu z jádra NT. Alex je také velmi aktivní ve vědecké obci bezpečnosti, odhalení a hlášení několik chyb týkajících se jádra systému Windows a prezentaci přednášky na konferencích, jako je blackhat a Recon. V posledních třech letech se také podílel na patche a vývoj ve dvou hlavních operačních systémů jader běžně používané.
-------------------------------- ^ _
Elektronické systémy fyzický přístup jsou spoléhala na stále více a více pro zajištění naší infrastruktury. V poslední době, tam byl trend při výrobě těchto systémů na bázi IP pro snadné nasazení a správu. Nicméně, i když se jedná o zařízení v síti, málo myšlenka je věnována chrání i proti některé z nejzákladnějších útoky ze sítě. Pokud jste někdy sledovali film jako "tenisky", a pomyslel si: "Člověče, já bych opravdu rád věděl, jak to udělat něco takového," pak byste měli přijít vidět tento rozhovor.
Stále relativním nováčkem na scéně, Ricky Lawshae dělá jeho nejlepší dráp cestu do pověstí pro sebe. V poslední době, když mluvil na Defcon 17 a byl vystupoval v wired.com je ThreatLevel. Rád mluvit s kýmkoli, kdo se dal s ním o všem, od komiksů k politice hudby technologii. Ricky Lawshae je bezpečnostní reseacher pro BreakingPoint systémy v Austinu, TX, USA.
-------------------------------- ^ _
Analýza paměť je metoda reverse engineering každý obraceče použití, ale jen zřídka věnovat pozornost tomu, dělat to v pořádku, a množství informací, které můžeme získat tím. Kromě reverzního inženýrství, tato metoda může být použita pro bezpečnost, ladění, monitorování, podvádění ve hrách, zábavu a zisk.
Assaf Nativ sdílí s divákem své nástroje pro nový typ softwarové analýzy, která umožňuje obnovu vnitřní implementační detaily pouze pomocí pasivní analýzu paměti a bez nutnosti jakékoliv demontáže. Vysvětluje výhody této metody. Assaf popisuje hlavní použití této techniky (monitorovací činnost aplikace), a ukazuje obnovu vnitřní struktury komplexního programu, stejně jako nový bezpečnostní problém, který se objevil v Microsoft SQL Server při použití této techniky.
Assaf Nativ je přední bezpečnostní výzkumník Sentrigo. Ten působí jako SRE v průběhu posledních 10 let v různých pozicích. Assaf je připočítán k objevování různých DBMS zranitelnosti. Ve svém volném čase trénuje profesionální podvádění ve hrách na Facebooku.
-------------------------------- ^ _
Hypervisory dělat velmi dobré nástroje, které poradce v reverzního inženýrství. Tato diskuse se zaměří na dvě související oblasti: Změny na Ether systém určený k zlepšení rozbalování schopnosti. Budu upozornit svou metodu pro přesnější detekci POE, PE přestavět, a za použití datové struktury pro správu paměti Windows přesněji obnovit import tabulky. Budu se také ukázat své zlepšení VERA, vizualizační nástroje, aby reverzní inženýrství výrazně rychleji.
Danny Quist je CEO a zakladatel společnosti Ofenzivní Computing, LLC. Je držitelem titulu Ph.D. z Nového Mexika institutu dolování a technologie. Danny je zakladatelem Ofenzivní Computing, otevřené malware výzkumu místě. Mezi jeho zájmy patří Malware obrany, reverzní inženýrství, software a hardware xploitation, virtuálních strojů a automatických spustitelné klasifikačních systémů. Ten představil na blackhat, konferenci RSA, Shmoocon a Defcon.
-------------------------------- ^ _
Zjistil jsem příběhy, které obklopují jak lockpickers a vědci byli schopni využívat nedostatky v některé ze světově nejvíce bezpečné a důvěryhodné zámky být fascinující. Tato přednáška představí podrobně, příběhy o tom, jak byly tři velké fyzické bezpečnostní produkty zaútočil: Mul-T-Lock, Medeco a Kwikset Inteligentní Series. Na co se zaměřit při zámky a možných cest útoku proti jiné populární high bezpečnostních produktů budou následně projednány.
Zatímco placení účtů jako auditor bezpečnosti a penetrační testování konzultant s jádrem skupiny Deviant Ollam je také členem představenstva americké divize TOOOL, otevřené organizace Lockpickers. Každý rok na DEFCON a ShmooCon Deviant běží lockpicking Village a dirigoval fyzické zasedání bezpečnostní školení v černém klobouku, DeepSec, ToorCon, zdroje, HackCon, ShakaCon, QuahogCon, HackInTheBox, CanSecWest, ekoparty a Spojených států vojenská akademie ve West Point. Ten nedávno vydal svou první knihu o lockpicking a jeho oblíbené Změny Ústavy Spojených států jsou v žádném konkrétním pořadí, první, druhý, 9., a 10..
-------------------------------- ^ _
Při své práci analytika PDF malware jsem viděl spoustu a spoustu souborů PDF, které se snaží použít kód zmatek technik pro analýzu těžší. Většina malware autoři zcela fušeřina mlžení ačkoli. V této přednášce se budu chodit publikum prostřednictvím příkladů zpackané mlžení techniky kódu, co se stalo a jak opravit neúspěšné pokusy zmatek. Cestou jsem se dát obecný úvod do formátu PDF, který jsem očekával, že hlavní využití vektor 2010.
Poté, co dokončil svůj magisterský titul v oboru počítačových věd v roce 2007, Sebastian připojil zynamics GmbH jako hlavní vývojář reverzní inženýrství IDE BinNavi, spolupráce RE sdílení informací nástroje BinCrowd a malware analýzy nástroj PDF PDF Inspector. Mimo jiné je zodpovědný za rozvoj a implementaci nových Statická analýza kódu algoritmy jak pro rozvoj slabých a malware analýzy. Sebastian byl řečníkem na různých bezpečnostních IT konferencí, včetně CanSecWest, zdroj Barcelona, Hack in the Box, a hack.lu.
-------------------------------- ^ _
Toto je stručný návod jedné z reverzní inženýrství nástroje (Hardware Emulator) používaných Air Force Research Laboratory pro analýzu aplikace a kód ovladačů na systémech x86. Je to také elegantní způsob, jak ladění hypervisory!
Jason byl zapojen do počítačové bezpečnosti oboru za posledních 5 let. Během té doby analyzoval řadu komerčních a vládních vyvinuté softwarové systémy, přispěla k některé velmi nové útok modelového výzkumu, a stal se uznávaným číhající na odborných konferencí. Jason se také pracoval na vývoji straně, vytváří šifrovací nástroj, který je oficiálně certifikován pro použití na Air Force desktopů a stealth ladicí program jádra, které používá DoD. Jason je také zaměstnán v US Air Force Research Laboratory jako reverzní inženýr na tým pro provedení posouzení druhého Jasona.
Jason strávil devět roků ve světě reverzní inženýrství, před 5 let pracují na Texas Instruments rozvíjí kompilátoru nástroje pro DSP (generátory kódu, montérů, linkeru, Disassemblery, atd). Rozvoj kompilátory po dobu 5 let před reverzní inženýrství poskytuje dobrý základ pro pochopení strojového jazyka a hardware, který je běžně využíván v rámci reverzních technických problémech. Jason má rozsáhlé zkušenosti v oblasti těžby duševního vlastnictví ze širokého spektra software, včetně uživatelských aplikací, DLL, ovladače jádra OS a firmware na různých platformách (Windows / Linux / Mac / vložené). Pracoval také na identifikaci a analýzu malware jej charakterizovat a / nebo neutralizovat. Jason se také prezentovány na 2 různých Black Hat zápory, Recon 2008 a WCRE 2008 Jason v současné době slouží jako tým vést k týmu hodnocení software ve Spojených státech amerických Air Force Research Laboratory, poskytuje DoD s odbornou podporou bezpečnostní software.
-------------------------------- ^ _
Tato prezentace se bude diskutovat a ukázat praktické techniky pro únik a útěk "Sand-box" technologie. Mnoho technik byly projednány, ale jen matně na populárních bezpečnostních konferencích. Velmi málo * skutečná * kód a demonstrace nebyly provedeny. Tato prezentace se bude skládat převážně z demonstrací a recenze skutečných kódu.
Stephen Ridley je vedoucí výzkumný pracovník Matasano Security LLC, nezávislého výzkumu a vývoje bezpečnostní firma, která se specializuje v oblasti bezpečnosti softwaru a reverzní inženýrství. Před Matasano, Stephen pracoval v McAfee jako zakládající člen výzkumné skupiny Security Architecture. Před tím, Stephen udělal reverzní inženýrství a výzkum softwaru zranitelnosti v "Skunkworks" týmu na přední americký ministr obrany / Intel dodavatele. On je připočítán s soukromě zranitelnosti objevy v populárních COTS balíčky, stejně jako open-source software. Stephen napsal několik odborných časopisech a byl citován v publikacích, jako je "Wired" a "bezpečnost Focus". On také učil reverzní inženýrství a bezpečnostní software společností z žebříčku Fortune 500 a vojenských a obranných agentur. Stephen současné době žije na Manhattanu, New York.
-------------------------------- ^ _
V těchto dnech mnoho výzkumníků pracujících v softwaru oblasti PC se začínají zajímat o vloženém reverzní inženýrství. Nicméně, většina z uvedené materiály, pokud předpokládá obeznámenost s tématem. Tato prezentace se snaží nabídnout obecný úvod k základům z pohledu PC obraceče. Ale to není všechno teorie, tam bude spousta praktických technik diskutovaných stejně.
Igor Skochinsky se zajímal o "Jak látka pracuje" od dětství a dostal se do softwarového reverzního inženýrství při návštěvě Běloruské státní univerzity. Po absolvování s vyznamenáním v informatice, strávil několik let ve velké softwarové společnosti, ale pokračovala ve své ZÁJMY ve volném čase. Měl krátké období slávy internet po uvolnění dumper iTunes DRM-kovaných souborů (QTFairUse6) a hacking Amazon Kindle. V roce 2008 dostal svou vysněnou práci v Hex-Rays, kde pomáhá Ilfak Guilfanov vyvíjet světově proslulé IDA Pro disassembler.
-------------------------------- ^ _
SDSL je na sestupnou hranu telekomunikační technologie, která byla původně určena k vyplnění mezery mezi spotřebitele ADSL a obchodní T1 / FT1 služeb. Když jsem začal pracovat s SDSL v roce 2004, jsem si vybral, protože to mi umožnilo zůstat "business" zákazníků (na rozdíl od spotřebitele / rezidenční), mají symetrický nahoru a dolů rychlostí (já bych raději mít nízkou symetrickou rychlost než vysoký asymetrické), jet rychleji než ISDN, ale zaplatí pouze 150 dolarů na 180 dolarů za měsíc, místo směrem nahoru na 500 dolarů za T1.
Za posledních 5 let jsem se úspěšně realizovalo projekt, který umožňuje nízkou rychlostí SDSL (od 160 kbps do rychlosti T1), které mají být použity jako stále k dispozici náhrada za ARPANET a starý 1980 ve stylu Internetu, pro ty, kteří si ujít druhé.Přesněji řečeno, jsem vyvinuli způsob, jak používat SDSL s tradičními 1980s routery pozdní ARPANET / začátku internetové éře.
ARPANET a brzy Internet přejel 56 kbps DDS a jiných pronajatých okruhů; linie tohoto typu je, že trubka nese synchronní sériové bitový proud. Rozhraní WAN na klasických 1980 / časných 1990s routery jsou tedy určeny k připojení na synchronní sériový bitového toku média. Jak se to stane, SDSL je také synchronní sériový bitový tok, ale proto, že to přišlo v době, kdy byly tradiční WAN rozhraní vychází z módy ve prospěch Ethernetu, CPE, který by umožnil SDSL, které mají být použity v staromódním způsobem byl nikdy široce dostupné.
Když jsem začal pracovat s SDSL v roce 2004, to bylo hrozně brzděna tím, že jediný typ koncového zařízení k dispozici pro něj byly Ethernet prezentující DSL "modemy" a routery podobně jako ty pro spotřebitele ADSL. Není schopen získat non-Ethernet CSU / DSU typ CPE zařízení pro SDSL, jsem vyrazil navrhnout a postavit sám, a 5 let později jsem získal kompletní a úplný úspěch.Výzva byla dále komplikována tím, že SDSL / 2B1Q nikdy nebyl skutečný standard, jen poněkud pseudostandard s různými nekompatibilními proprietárních chutí.
V této přednášce se budu sdílet upozorní na mé cestě, která mi přinesla současného stavu s CSU / DSU-jako zařízení, které přikládá SDSL na rozhraní non-Ethernet WAN dané 1980 / 90. routeru. Tato cesta včetně inženýrské podniky sociální s dodavateli několika starších SDSL infrastruktury, hrubou sílu popraskání šifrované ZIP s SDSL vysílací řídicí čip zdrojový kód softwaru, a spoustu hardwaru, firmwaru a síťový protokol reverzního inženýrství.
Související stránky projektu: http://ifctfvax.Harhan.ORG/OpenWAN/
Narodil jsem se a vyrůstal v tehdejším SSSR. Vyrůstal jsem s počítačovou architekturou, který byl sovětský klon DEC PDP-11;Ruské a PDP-11 montáž byli moji stejně rodilí první jazyky. Poté, co byl táhl kopající a křičící do (mnohem horší než DEC) IBM PC kompatibilní s architekturou kolem věku 11 let, jsem byl DOS žokej na chvíli. V mých DOS dní jsem studoval všechno, co tam bylo vědět o systémech disketa ochrany proti kopírování (a podkladových fyziky magnetického záznamu a fungování a výstředností standardních regulátorů) v procesu vývoje disketové Analyser, chráněné proti kopírování disketa kopírování nástroj. Také jsem se ponořil těžce do světa 386 správců paměti a použití chráněného režimu v prostředí DOS (DOS extendery etc), a napsal svou vlastní správu paměti MMM386 v tomto procesu.
Po dosažení nezávislé postavení dospělého jsem měl radostně řekl: "dobré zbavování" na PeeCee (pee moře) architektury a vrátil se ke svým kořenům prosince. Jsem plně přijali DEC VAX architektura (PDP-11 je přímým nástupcem), ale jen hardware část.Místo toho, aby prosince v OS jako VMS, běhám UNIX - a není žádný UNIX, ale původní UNIX UC Berkeley pro VAX. Jak svět je poslední známá stránky stále běží VAX 4.3BSD variantu v plné výrobní činnosti a plánování v tom pokračovat do nekonečna, stal jsem se tento operační systém je de facto vlastníkem. Moje osobní zájmy mimo hacking jsou velmi různorodé a sahají od buňky a molekulární biologie na exopolitiky.
-------------------------------- ^ _
V kostce: 5ESS (včetně VCDX pod emulací), Demonstrace buď pomocí simulátoru a / nebo emulátor 3B20 / 21. Demonstrace stránek a tropí MCC, stejně jako užitečné příkazy CRAFT. RC / V (nedávná změna / Verify). Diskuse o GRASP (5E / DMERT / UNIX-RTR debugger).
Bude hovořit o DMS supernode řady přepínačů, od základů (jak se přihlásit a dostat se na příkazový interpret - CI), stejně jako MAPCI, Table Editor, které tabulky jsou užitečné, přidání tabulek, stejně jako SERVORD (RC / V pro DMS). Bude také hovořit o debuggeru DMS, přes které hodně věcí se dá dělat. Může mít vzdálený přístup k DMS-500 živě na konferenci (nastavení je stále vyšlo, je ve vlastnictví přítele).
Bude hovořit o Datakit II VCS, jak se orientovat na virtual-circuit-switched sítě, jak identifikovat terminálového serveru Datakit nebo hostitele s Datakit nainstalován (například Solaris nebo více obskurní verze Unixu, jako Amdahl UTS Unix). Jak používat pomoc Datakit adresáře najít jiné počítače v různých sítích. Jak Datakit dialstrings práce (např, nyc / queens1 / laboratoř [.service]). Může také mluvit o nižší úrovni Datakit univerzální přijímač protokolu, s využitím informací z papíru, jsem obdržel od Dennis Ritchie.
Pracují s různými architekturami (Vax SPARC, MIPS, POWER / PPC, alfa, PA-RISC, 3B2, m68k, Cray XMP / YMP) na nějakou dobu.Dříve pracoval jako bezpečnostní poradce. Za posledních 2,2 roků pracoval s bezpečnostním produkt skupiny velké společnosti v Silicon Valley.
-------------------------------- ^ _
Tato rychlá diskuse bude první veřejné odhalení zjevuje, nová samostatná aplikace pro interaktivní analýzu spustitelného kódu.
Inspirován myšlenkou rozšířit formální techniky analýzy programu, aby se více relevantní pro reverzní inženýrství, zjevuje může shromažďovat informace s použitím řady statických a dynamických metod a integrovat jej do výkonné a flexibilní model, snadno prozkoumat a rafinované uživatelem.
Principy za technologie budou projednány a bude demonstrace toho, jak to umožňuje analytik rychle a intuitivně se nejen ze dne na den, reverzační úkoly, ale řešit některé z nejsložitějších a časově náročné případy se objevily dnes, takový jak self-modifikovat kód, aritmetické mlžení a virtualizace balírny.
William Whistler byl reverzní inženýrství software pro více než deset let a má titul MA v oboru počítačových věd na Oxfordské univerzitě. Specializuje se na jak tvorbu a analýzu silně popletl kód DRM systémů a dalších softwarových ochran. Jeho životní ambicí je zpětně lidský mozek.
-------------------------------- ^ _
dirtbox je pokus realizovat vysoce škálovatelné x86 / Windows emulátor, který může být použit jak k jednoduchému malware detekce a podrobných zpráv pro analýzu chování. Místo toho, aby napodobující každou instrukci x86 v softwaru, malware instrukce jsou prováděny přímo na hostitelském CPU, na základním bloku módy. Demontáž běží na každém základním bloku je zajištěno, že žádný privilegovaný nebo řízení toku rozvracení instrukce jsou provedeny. Pojem virtuální paměti, která je oddělena od paměti emulátory se používá speciální LDT segmentů a přepínání segmentu selektory před provedením hodnocení pokynů.
Operační systém je emulované na syscall vrstvě. I když je tato vrstva je většinou bez dokladů a provádění přesným způsobem, je náročný úkol sám o sobě, že žádné změny registru jsou unikly z Ring 0 maří mnoho detekčních metod. Pro použití API na vysoké úrovni, odpovídající knihovny jsou přímo mapovány do virtuální paměti stejně. Detekční mechanismy, jako například:
- Vyšetření rejstříku ecx po SEH chráněny volání API
- Stolen bytů z provádění knihovnu API
- Přímé čte a zapisuje z PEB nebo jiných statických místech nebo knihoven jsou podporovány automaticky
Georg je Virus Analyst ve společnosti Kaspersky Lab, výzkum a vývoj nových prototypů pro nadcházející A / V technologie. Je členem projektu Honeynet a jeho poslední veřejné Projekt byl mwcollectd v4, nízká interakce kolekce malware honeypot. Jiné zájmy patří všeobecné nízkoúrovňové zábavu, jako je například (pokročilé;)) binární využívání; rozvoje sítě a vysoce výkonný asynchronní I / O kódování; pivo a ženy. On je vysokoškolský student na RWTH Aachen University.
-------------------------------- ^ _
Za posledních několik let duhy stoly začaly mizet. Torrenty nedostal nasazený už, zrcadla šel dolů. Tak jsme se divil, proč se to stalo a jaké chyby byly provedeny v minulosti. S více a více grafických karet přidává podporu pro běh vlastního kódu na jednom jejich GPU má sám sebe zeptat, je stále potřeba duhy stoly. Má paměť v čase kompromis ještě splňuje požadavky moderního computing? Při bližším pohledu, jeden si uvědomí funkci redukce používané nástroje, jako jsou Rainbow-trhliny a rcracki není měřítko dobře na GPU. Existuje také několik věcí, které nejsou tak dobré, jak by mohly být u stávajících implementací tabulky.Tak jsme se rozhodli dát mu jiný jít. Vyjměte Přemýšlejte, Re- plán Re- zápis v Odry k řešení nových úkolů GNU počítači.
Naxxatoe je IT Security Researcher / analytik v současné době trvalý pobyt v Rakousku. Jeho technické znalosti a schopnosti, stejně jako jeho znalosti o IT Security ho vést cestovat po světě a dát drsně přednášky na různých IT konferencí a pracovat jako konzultant pro různé světové firmy. Kombinace toho nejlepšího z obou etického hackingu a černé magii, je schopen zajistit kvalitní a vyváženou Pokyny o potenciálních hrozbách / útoky a protiopatření.