Anti-Virus Heuristics < Drew >

这个讲演会对手工恶意代码分析给出一个技术概要，重点关注于启发式探测恶意代码所属家族的自动化实现。
包含：现代打包/加密技术的分析，摸拟器或动态启发机制的历史，一些"静态启发"机制的概要 这样。

关于 Drew:

Drew Copley 是eEye Digital Security的高级研究工程师.

可编程信号同步技术 < Cawan >

这演讲将讨论针对于一个非典型系统(广播，紧急疏散，火警) 被渗透的可能性。 当有关系统的通讯协议被非法获取和暴露后，通过利用可编程大规模数字逻辑芯片 (FPGA) 做相应的设计，往往一个具有系统针对性的收发电路能在一瞬间就完成了 。这收发电路能有效的对一个非典型系统做数据与时钟同步，来完成对通道里数据 的存取与应用。

关于 Cawan:

Secretary of IEEE Computer Society Malaysia, CIW 马来西亚IEEE计算机协会秘书长，CIW，现在正在为信号同步的数字时钟数据恢复开发一个新的算法，完成PHD的研究

黑客的过去、现在和将来 < Skyper >

关于 Skyper:

Phrack杂志的主编 THC的成员 TESO的成员

0day漫谈 < Sowhat >

从2004年开始，0day已经越来越多地吸引了大家的眼球，0day industry也初具规模。国外的一些邮件列表也进行了很多关于0day话题的有趣的讨论，但是国内关于这个话题的探讨相对来说还是非常少，因而0day在国内来说还笼罩着一层神秘的面纱。 从0day的诞生，到它的消亡；从如何发现0day，到如何防范0day；从0day俱乐部，到整个0day industry；从0day的研究者，到0day研究所涉及的法律问题；从0day市场模式，到0day对股市的影响; ......

关于 Sowhat:

服务于公安部第三研究所和国家863计划反计算机入侵和防病毒研究中心
CFAT组成员

结构化的签名和签名的结构化 < Funnywei >

该演讲将介绍Binary Diff中的结构化签名技术。内容包括如何在三个层次--函数 调用图、函数控制流图、指令上对Binary进行签名和同构比较，如何采用自己设计 的中间汇编语言来完成这项工作，以便做到更好的跨平台移植性。但必须注意到的 是，该签名技术的一个很大的问题是只注重了结构化的统计信息，而没有给出真正 意义上的结构化信息。在遇到编译优化的时候，往往会不精确，发生错误的匹配。 作者将介绍一种如何将签名结构化的方法，来更好地处理该问题。

关于 Funnywei:

XFocus成员
安全技术研究人员,研究安全技术6年

Java 安全编程 < Marc Schoenefeld >

Java默认是不安全的， 作为一个开发者的得你用它的内置的特性使你的软件更安全，但是底层软件(例如JDK)堆栈的其他错误和缺陷能添加一个广泛的漏洞到你的Java软件中去。这个演讲是关于产生这些错误的原因和探测他们的技术。

关于 Marc Schoenefeld:

1983年喜欢上了Hacking(包括C64,amiga,st,x86),学习了商业信息学，并且在德国一个非常大的金融产业从事安全管理工作。讲述关于Java安全(博士论文主题)在Blackhat, RSA, Bellua, DIMVA and D-A-CH.

03/2005		Bellua Cyber Security, Jakarta , Java & Security
02/2005		RSA Conference , San Francicso, Security Focused Code Audit of Java Applications and Middleware
07/2004		DIMVA 2004, Dortmund, DE (GI e.V.) JDK Antipatterns and Refactorings
03/2004		D-A-CH Security, Basel , CH (GI e.V.) Seitenkanalangriffe auf javabasierte Softwaresysteme
10/2003		Informatik 2003, Frankfurt/Main Service-Infrastruktur der GAD
08/2003		AMCIS 2003, Tampa Bay, Java Security Anti-Pattern, Secure Access Layer
04/2003		Blackhat Europe, Amsterdam , NL Hunting Flaws in JDK
03/2003		Whitepaper in Zusammenarbeit mit idefense.com Java Distributions and Denial-of-Service Flaws
02/2003		Blackhat Windows Security, Seattle , Multiplatform Denial-Of-Service
08/2002		Blackhat Briefings, Las Vegas, Security Aspects in Java-Bytecode Engineering
04/2002		CSMR, Budapest , Ungarn An Evolutionary Integration Approach using Dynamic CORBA in a typical Banking Environment (mit Markus Pohlmann)
08/2000		AMCIS , Long Beach, Enhancing ERP-Efficiency through Workflow-Services (mit Oliver Vering)
04/1989		Atari-Magazin BLEND.BAS: Ein blendender Effekt in Assembler für Atari ST

Windows CE 攻击 < San >

PDA和手机的网络特性变得越来越强大，所以它的相关的安全问题也越来越吸引人们的注意。这个演讲将展示一个在Windows CE上缓冲区溢出攻击的例子，将包括ARM结构、内存管理和Windows CE的进程和线程的特性等几方面的知识。在这个演讲里还将展示如何编写Windows CE上的Shellcode，包括ARM处理器的Windows CE的解码方面的知识。

关于 San:

XFocus成员
安全技术研究人员,研究安全技术6年

Windows内核池溢出漏洞利用方法 < SoBeIt >

Windows用户态下缓冲区溢出包括栈溢出、堆溢出的历史有很多年，漏洞利用的方法以 及对应的保护方法已经比较成熟。人们把目光都集中在了用户态的漏洞，却忽略了内核 里驱动和内核本身的漏洞。内核态下缓冲区溢出研究的历史并不长，同时，很多用于用 户态的保护措施并没有应用于内核态，使得内核态下的漏洞将导致更大的危险。内核池 (Pool)相当于内核态的堆，同样存在着可以被溢出并利用的可能。本文将介绍我在池溢 出漏洞利用方面的一些研究。

关于 SoBeIt:

北京航空航天大学学生，操作系统内核与安全爱好者。

我想看的更远 < TombKeeper >

在这里将向大家讲述用简单的办法，增加常见的无线网卡和蓝牙设备通信距离的方法,使你能连接到更远的无线设备，其中包括如何给无线网卡安装天线，如何给蓝牙适配器安装天线，以及其他一些增加设备通信距离的方法。

关于 TombKeeper:

XFocus成员
安全技术研究人员,研究安全技术6年

网络病毒监控系统的架构体系与研究方法 < Seak >

通过对传统的IDS结构进行分析，研究者认为传统的IDS的体系结构不适合对高速大流量下的种类繁多的病毒进行检测。为解决这个问题，研究者以准确而高速的检测各种病毒在网络中传输、扫描、攻击行为并兼有部分未知病毒检测能力为目标。提出了基于旁路监听技术，采用归一化处理思想，面向算法效率的检测系统体系结构——Virus Detection System（VDS）；，实现了适用于骨干网络带宽条件，采用简单协议分流，并发大特征集高速匹配处理和并发协议定位解析的检测体制。论文通过引入AVML、DEDL等新的技术描述体制论述了VDS使用的数据处理方式，并介绍了深度处理和未知发现的一般性方法。

关于 Seak:

多年从事反病毒研究，2000年参与创立安天实验室（Antiy Labs），研究方向为网络病毒监控体系，反病毒引擎架构，病毒响应处理体制等。

针对Grub的高级木马 < CoolQ >

随着木马技术的不断发展，用户态的木马基本上退出了历史舞台，内核态的rootkits功能越来越强大，魔与道的斗争还在继续。本文目标转向应用最广泛的Bootloader - Grub，通过分析Grub加载内核的过程，给出一种“偷梁换柱”的技术。

关于 CoolQ:

中科院软件所学生，研究领域包括rootkits, forensic, vulnerability auto-discovery

ring3 nt rootkit 新思路 < Baiyuanfan >

随着后门攻击与防御技术的发展，普通的远程管理程序式的后门早已不能够适应复杂的环境，于是rootkit应运而生。这个讲演介绍我对于实现一个完整的ring3 nt rootkit的一系列新思路，来解决rootkit前辈们没有解决的问题。

关于 Baiyuanfan:

白远方，上海华东师范大学软件学院2004级学生，系统内核开发与安全开发爱好者。

程序开发环境安全 < ICBM >

这是一篇关于讨论程序开发环境中连接器漏洞相关安全的演讲, 我们在日常的使用中发现多个开发环境的安全漏洞，却从来没有真正关注过开发环境的安全问题，提供源程序的软件都被认为是安全的，没有人在重新编译连接前会想到编译或者连接过程本身将导致自己受到攻击，本文还将介绍Linux下bfd库导致的ld连接整数溢出漏洞与Windows VC6开发环境中一个未公开的连接器漏洞。

关于 ICBM:

2003年就职于启明星辰积极防御实验室（Vesnustech ADLab），国家计算机网络安全事件应急小组（CNCERT/CC）成员。主要研究方向：Unix/Linux/Windows漏洞挖掘，并发现多个系统安全漏洞，Unix/Linux应用系统安全，Linux内核漏洞挖掘，Linux HIDS的开发和事件研究，XML相关安全，蠕虫分析与研究，对计算机紧急响应有较多实际经验。过多项计算机犯罪取证，计算机容灾系统等相关的国家项目与863项目。

软件同源性度量技术研究 < 刘欣 >

当前软件版权保护机制侧重于从事前角度出发,防止软件知识产权受到侵害,无法满足司法实践对软件产品的同源性进行判定的要求,作者从静态与动态两个方面对程序可执行代码进行分析,给出了一种程序可执行代码同源性度量方法.原型系统运行结果较好地反应了可执行代码间的似然性,初步解决了软件同源性度量的问题.

关于 刘欣 :

博士研究生，北京大学信息科学学院网络与信息安全研究室。研究领域：网络与信息安全、计算机取证。

kernel模式下构建rootkit和malware < Matt Conover(Shok) >

这个议题将讲述kernel模式下构建rootkits和malware的方法，这些方法主要是当前未被rootkit探测器使用和躲避的一些方法。这个议题我们还将讨论如何保持rootkit探测器的完整和防止探测器被终止。

关于 Matt Conover (Shok) :

w00w00 Security Team 成员
安全技术研究人员，从事安全技术研究6年