议题名称:Fixed, or not fixed, that is the question

演讲者:张云海

绿盟科技安全研究员。从事信息安全行业十年以上，主要研究方向是漏洞利用的检测与防护。在BlackHat、BlueHat等安全会议上进行过主题演讲。自2014年起连续4年获得微软 Mitigation Bypass Bounty。

议题概要

近年来，微软持续的补充与完善 Windows 中的缓解措施，构建了一个行之有效的防御体系。相应的，缓解措施的绕过逐渐成为漏洞利用过程中最为重要的一个环节，各种新颖的绕过技术不断涌现。为了保持缓解措施的有效性，微软会及时的修复已知的绕过技术。由于可用性、兼容性、稳定性、性能等方面的原因，这是一件相当复杂与困难的工作，很多时候修复方案本身并不完善。

本议题通过分析两个实例，利用 ATL Thunk Pool 与利用 Chakra JIT Engine，来阐述如何寻找绕过技术修复方案中潜在的缺陷，从而再次绕过所有缓解措施。

议题名称:How I Generally Bypassed CFG

演讲者:杨军锋

现在是DiDi Labs的研究人员，此前他曾在绿盟科技和FireEye任职。他对各种各样的安全技术都感兴趣，尤其是利用技术。他也曾获得过微软的缓解绕过奖金。

议题概要

在过去这些年，微软引入了很多种利用缓解措施以抬高攻击的成本。在Windows 10中，微软引入了Control Flow Guard (CFG)缓解措施，进一步加大了Windows平台上的利用攻击难度。然后，正如历史所示，没有什么完美的东西，尽管CFG已经存在了很久而且很多研究人员做了很多工作来完善它，但还是存在这样或那样的缺陷。

在这个演讲中，我会谈谈我之前用来绕过CFG的一些技术，只要能获得读写能力——在现代利用中这基本是标配，就能组合这些技术来绕过CFG。我将分享的这些小招数，它们是能被用在各种各样的软件里，比如Edge 浏览器，IE, Adobe Reader, Flash以及Office等等。

议题名称:Evilsploit - 嵌入式系统黑客的硬件杀器

演讲者:Chui Yew Leong、万明明

Chui Yew Leong是广州腾御安公司的系统架构师。嵌入式开发是他的专业范围。
万明明是广州腾御安公司的高级硬件工程师。嵌入式系统开发是他的专业范围。

议题概要

Evilsploit是一款针对嵌入式系统硬件的黑客杀器。在传统硬件黑客的情况下，需要利用两款不同的工具分别对目标硬件进行总线识别与操作，没有丝毫兼容与整合的空间。因此，硬件黑客过程一直以来不能实现自动化。另外，传统意识上的硬件黑客手段总离不开大量重复性的手工操作，这情形不但有着极高出错的可能性，也会大大打击偏软黑客在进行硬件黑客之初的满腔热诚与信心。事实上，只要对硬件调试口踏出一小步，已经足以让偏软黑客进行大部分的硬件黑客行为，理由是现行的绝大部分硬件都是由软件驱动的。基于以上缘由，Evilsploit的主要目的是对总线识别与操作过程实现最大程度的整合。通过单一的硬件工具，可以在成功完成总线识别过程之后把相对的正确连接配置模式转发给桥接处理部分以让上层调试工具比如OpenOCD、UrJtag、或Minicom直接进行操控。所以，只要利用Evilsploit，硬件盲也能试着进行硬件黑客行为。此外，Evilsploit也可以作为综合性的辅助工具以配合传统的嵌入式硬件与软件攻击，比如侧信道（SCA）、错误注入（FI）、模拟运行、和静态分析，以实现更为高级的攻击。

议题名称:面向safari浏览器的漏洞挖掘

演讲者:罗通博

罗通博，博士，派拓网络资深安全研究员，主要技术兴趣包括浏览器安全，手机安全与物联网等。他致力于入侵及防御技术，基于深度学习的安全检测技术。曾多次在各大顶级安全会议上(BlackHat, Virus Bulletin)分享自己的研究成果。

议题概要

Fuzzing是一种寻找软件漏洞的高效手段。在这个议题中，我们将和大家分享一类相对缓慢但是无需过多人为干预与调整的fuzzing方法，详细介绍如何构造Safari浏览器下包含DOM，JavaScript以及WebGL等内容的测试页面。同时我们还会公开一套完整的，无干预运行了一年且还在不断发现漏洞的fuzzing代码和通用模板。

议题名称:面向safari浏览器的漏洞挖掘

演讲者:屈波

屈波，博士，派拓网络杰出工程师，移动互联网系统与应用安全国家工程实验室特聘专家，主要研究兴趣包括各类系统与软件安全，移动与互联网安全等。

议题概要

Fuzzing是一种寻找软件漏洞的高效手段。在这个议题中，我们将和大家分享一类相对缓慢但是无需过多人为干预与调整的fuzzing方法，详细介绍如何构造Safari浏览器下包含DOM，JavaScript以及WebGL等内容的测试页面。同时我们还会公开一套完整的，无干预运行了一年且还在不断发现漏洞的fuzzing代码和通用模板。

议题名称:智能网联汽车安全 - 特斯拉中的CAN网络

演讲者:张文凯

张文凯，腾讯科恩实验室安全研究员。 目前主要负责车辆CAN网络安全测试与车载固件分析。拥有大量嵌入式基础软件开发经验，熟悉车辆ECU硬件设计流程，了解整车CAN网络架构。 大学期间负责FSAE整车电子架构与部分ECU设计，2016年9月参与科恩实验室对特斯拉汽车的无接触远程攻击，负责CAN网络攻击相关工作。

议题概要

汽车行业正处于一个迅猛发展的时期，车联网概念逐渐深入人心，安全问题也在引起广泛重视。智能网联汽车不仅仅涉及到财产与信息安全，更重要的是其被入侵后可能存在的人身安全危害。

本议题以特斯拉为例，首先介绍2016年科恩实验室远程入侵至特斯拉CAN总线的攻击链漏洞细节，着重介绍在对特斯拉CAN网络研究中的一些安全测试方法与思路，同时在议题中也会分享对于目前CAN网络安全的一些见解。

议题名称:智能网联汽车安全 - 特斯拉中的CAN网络

演讲者:聂森

聂森，腾讯科恩实验室安全研究员。 目前主要负责科恩实验室的智能汽车安全研究工作，包括代表性架构的整车安全攻防，嵌入式领域的程序分析，以及汽车在网联化、电动化与智能化过程中涉及的前沿安全研究领域探索等。 在这之前的研究工作主要集中在把程序分析技术应用到实际的大型软件漏洞挖掘过程中，曾发现若干个安卓内核提权漏洞。

议题概要

汽车行业正处于一个迅猛发展的时期，车联网概念逐渐深入人心，安全问题也在引起广泛重视。智能网联汽车不仅仅涉及到财产与信息安全，更重要的是其被入侵后可能存在的人身安全危害。

本议题以特斯拉为例，首先介绍2016年科恩实验室远程入侵至特斯拉CAN总线的攻击链漏洞细节，着重介绍在对特斯拉CAN网络研究中的一些安全测试方法与思路，同时在议题中也会分享对于目前CAN网络安全的一些见解。

议题名称:挖掘隐藏在堆栈中的宝藏—通过栈数据修改绕过控制流保护（CFG）

演讲者:孙冰

孙冰是一位资深的信息安全研究员，现就职于英特尔安全事业部（原迈克菲），主管其入侵防御产品下的安全研究团队。他拥有丰富的操作系统底层和信息安全技术的研发经验，尤其对于高级漏洞攻防、木马后门检测、虚拟化技术以及固件安全等方面有比较深入的研究，并曾在XCon、Black Hat、CanSecWest等国际知名安全会议上做过演讲。

议题概要

控制流保护（CFG）是一种防止漏洞利用程序劫持程序控制流的漏洞利用缓解机制。在目前所有已知的CFG绕过方法中最常用的是修改堆栈中函数返回地址。厂商们现已开始着手同时从软硬件两方面解决这个问题，相信在不久的将来该绕过方法会彻底失效。作为漏洞研究者，我们于是不禁要问堆栈中除了函数返回地址，难道就没有其它可以利用的数据吗？经过深入的研究，我们发现除了函数返回地址外堆栈中确实还存在一些其它有意思的数据可以被用来绕过CFG，但相比起修改函数返回地址，它需要更高级的利用技巧。在这个议题中，我们将通过一些有趣的例子来展示我们的研究成果。我们会介绍一些应用在不同场景下稳定的堆栈地址泄露和利用技巧，例如纯数据攻击和竞争条件结合技术。此外，我们还将在最新的Windows 10内部预览版上进行现场攻击演示。

议题名称:蓝牙4.0加密通信过程的流量分析攻击威胁与防护

演讲者:敖世亮(ID:虹猫)

安天微电子与嵌入式安全研发中心

议题概要

随着物联网时代的开启，低功耗蓝牙设备的部署与应用日益广泛。但随着软件无线电技术的发展，在机器学习、数据分析技术的推动下，针对物联网通信的攻击不再仅限于传统嗅探破解，通信信道的流量分析已经成为新的安全威胁，可以在捕获通信数据包序列但无需解密的情况下，达到探究当前用户可能进行的通信行为，进而用于行为特征识别、攻击对象身份判定、行动计划推测的效果。本报告展示了研究小组对相关问题的初步思考和实验探索。
议题简述蓝牙4.0通信的安全机制及机器学习预测模型的构建流程，以蓝牙4.0通信过程为例，通过无线电设备跟踪跳频、捕获并破解蓝牙键盘键入数据，将加密通信数据、破解后的明文信息与同时记录的流量特征进行对比分析，探究三者联系和由此可能带来的信息泄露威胁，并作简单实例演示，展现安全风险。

议题名称:智能汽车“神经元”之信息管道安全观

演讲者:杨卿

独角兽安全团队（UnicornTeam）创始人。360无线电安全研究部负责人。BlackHat黑帽大会&DEFCON黑客大会、CanSecWest、Ruxcon、HITB(HackInTheBox)、POC、IEEE-CNS、XCON、ISC等安全峰会演讲者。安全书籍《无线电安全攻防大揭密》及《硬件安全攻防大揭秘》作者。

议题概要

智能汽车体内的“神经元”（电子控制单元）之间靠总线牢固的连接着，各种信息得以高速的传递。这其中的一部分“神经元”还会接收内部总线之外的来自于外界的信息数据，所以针对于智能汽车安全的一个新的攻击方向油然而生。本议题将讲解当攻击者在还未渗透进智能汽车体内时，会使用哪些攻击方式来过扰乱、控制智能汽车上这些具备感知外界信息“神经元”。

议题名称:Finding Needles in a Haystack

演讲者:汪列军

Xfocus早期成员，360企业安全集团高级研究员，信息安全领域超过十五年的经验，专注于漏洞分析与挖掘、入侵检测与防护、恶意代码与APT事件分析。

议题概要

针对企业组织的定向攻击是一种严重的威胁，攻击者利用多种脆弱性和工具（0day、定制远控等）来绕过防护控制目标系统，执行窃密和破坏。安全工业界每日面临数以百万计的恶意代码，如何从海量的数据中识别定向攻击相关的样本构成一个很大的挑战。 我们知道鱼叉邮件是针对性攻击的主要载荷投递手段，攻击者向目标发送带有捆绑了已知或未知漏洞利用的Office文档，不小心的受害者极有可能点击打开从而触发漏洞导致终端被控制。在360对定向攻击的分析实践中，我们认为在某些场景下通过对漏洞利用相关的Shellcode进行聚类分析以发现特殊的样本是一个有效的方法。Shellcode是漏洞利用过程中一个相对独立的攻击组件，一般作为获取系统控制的第一阶段，其主要功能为获取更多的恶意组件，通过安装后门最终实现持久化以保持长期控制。Shellcode作为某些类型的漏洞攻击中的必要组件，其反映了恶意代码的某种独特性，发现特殊的样本再投入人力进行深入分析是高效费比的处理方案。 本议题中主要的处理对象是RTF/DOC文档，因为这类文件的漏洞被频繁地用于针对性的攻击。首先，我会讨论如何从RTF文档中检测及抽取Shellcode；其次，介绍Shellcode的具体聚类方法；最后，我会分析处理完成以后的结果，通过开源信息进行验证并展示分析当时未知的可疑案例。

议题名称:汽车感知的信任危机

演讲者:闫琛

浙江大学博士生，智能系统安全实验室（USSLab）成员，主要研究方向为汽车安全和物联网安全。他是Tesla Motors信息安全奖章获得者，曾在DEFCON、PoC、GeekPwn等安全大会上发表演讲，所在团队两次进入特斯拉名人堂。

议题概要

在汽车这样复杂的控制系统中，传感器是不可或缺的一环，自动驾驶汽车更是极度依赖主动式传感器进行环境感知。作为系统中最底层的数据来源，传感器通常被认为是可信的，并且用于其他系统的诊断。然而问题是，传感器真的安全吗？一旦传感器数据变得不可信，汽车控制系统会具有极大的不稳定性，将造成严重的安全隐患，而这一点在自动驾驶汽车上格外突出。本次演讲将从传感器的角度，分析（自动驾驶）汽车的安全隐患，介绍对被动式传感器以及主动式传感器的安全性与可信性的研究，包括加速度传感器、超声波传感器、毫米波雷达和摄像头等。我们将介绍对这些传感器的非接触式攻击，并展示在Tesla Model S等真实系统上的实验效果。

议题名称:未初始化漏洞在macOS Sierra上的利用

演讲者:许镇泉

盘古实验室实习研究员,上海交通大学网络空间安全学院在读硕士。

议题概要

macOS Sierra 是2016年苹果公司推出的最新桌面操作系统，苹果在系统安全性方面做了进一步的加固。首先，本议题将分享新版操作系统在安全性方面作出的改进。接着，会详细阐述在Pwnfest2016中攻破macOS Sierra 内核所使用的两个漏洞的成因，以及利用方法。最后，演讲者会总结这类漏洞的利用方式，以及，从操作系统的角度，如何减小这类漏洞的危害性。

议题名称:人工智能在 Web 安全中的应用

演讲者:冯景辉

百度安全事业部技术总监,商业安全产品研发总负责人。

议题概要

传统的基于攻击特征的安全防护，存在着特征库难于管理、较高的误报率和漏报率等诸多问题，安全防护效果难以进一步提高，而近年来出现的基于语法规则的检测虽然在一定程度上弥补了特征的不足，但是因为不理解业务，对于有着更高智能的攻击也显得捉襟见肘。