xKungfoo 2017｜好會知時節，上海正舉行（2）

信息安全網絡安全雲計算物聯網嘶吼RoarTalk 2017-04-30

4月26日-27日，由XCon組委會主辦、未來安全承辦的xKungfoo 2017在上海浦東假日酒店舉行，現場匯聚數百位安全從業者，共坐一室，聆聽專業大牛分享前沿的技術。xKungfoo已經有將近十年的歷史，每年一期，乾貨滿滿，拒絕摻水。今年的xKungfoo更是實力銳增，每個議題都是一個方向，每個議題都是該方向最前沿的技術。

無干貨，不xKungfoo。昨天會場座無虛席，今天會場依然沒有空位。不少聽會者都是一邊聽講一邊記筆記，休息間隙更是把演講者團團圍住。xKungfoo 2017精彩持續進行中，第二天又繼續分享了7個乾貨議題。

河廣：雲代碼Fuzz分析框架

xKungfoo 2017｜好會知時節，上海正舉行（2）

來自螞蟻金服巴斯光年實驗室高級安全研究員河廣分享了雲代碼fuzz框架的分析。越來越多的企業把自己的信息託管到雲端，但是雲端的防護是不是真的如宣傳的那樣安全？河廣本次分享的議題內容主要是，基於在虛擬機中模糊測試代碼特性的角度，從防守者的角度對代碼分析測試現狀進行敘述，提出較通用的分析架構方案。

劉亞、王輝：如何評估你的DDoS Botnet跟蹤？

xKungfoo 2017｜好會知時節，上海正舉行（2）

“DDoS Botnet 跟蹤”可以用來實時獲取那些通過botnet發起的DDoS攻擊的信息，比如所使用的botnet家族、C2控制端域名和IP、控制端口、攻擊類型以及具體的攻擊參數。這些信息除了有助於DDoS攻擊的檢測和防禦，還可以用來對攻擊進行溯源，找出幕後的控制者。

對於跟蹤botnet，我們需要知道：1）流行的DDoS botnet中有多少屬於家族未知的（即不能跟蹤的）？2）對於家族已知的（即可跟蹤）botnet，有多少C2 server不在我們的跟蹤範圍內？今天來自360安全研究員的劉亞、王輝基於上面的兩個問題詳細講解了如何從實際發生的DDoS攻擊中找出從未被發現的攻擊。

朱芳雅：虛擬商品的安全之路

xKungfoo 2017｜好會知時節，上海正舉行（2）

何為虛擬商品？泛指一切無倉儲和物流運輸的商品和服務，包括虛擬商品和服務，也包括不需要倉儲物流的實物商品。今天，來自唯品會高級信息安全工程師分享了虛擬商品的安全之路。

虛擬商品已經日漸火爆，黑灰產也悄悄瞄上了這塊誘人的大蛋糕，比如盜券、篡改收貨地址、盜虛擬貨幣、詐騙等。由於虛擬商品的特殊性，解決這類問題變得很是棘手，企業只能加強自己的風控體系建設，設置完善的異常檢測機制，才能最小化黑灰產的傷害。

redrain：讀文檔讀出一個0day

xKungfoo 2017｜好會知時節，上海正舉行（2）

PostScript是一門由Adobe推出的非主流冷門編程語言，用於打印圖像和文字。雖然冷門，但是打印、字體繪製來說不可或缺，Google的神人j00ru在逆向Adobe的字體引擎過程中接觸該語言，稱其為可以統治所有平臺的字體漏洞之源。

今天CVE高產安全研究員redrain分享了自己對PostScript引擎GhostScript的研究成果，其中包含幾個有趣的漏洞。除此之外，他今天還帶來了一個重磅的新聞，現場爆出一個0day。

王啟澤：TrustZone安全技術研究

xKungfoo 2017｜好會知時節，上海正舉行（2）

隨著移動互聯網和智能終端的發展，智能設備進入了人類生活的方方面面。由於普通移動終端操作系統的開放性和複雜性使得移動終端平臺的安全性得不到保障。為此，ARM公司推出了TrustZone技術，可以通過TrustZone技術實現內存隔離和外設保護，提出了可信執行環境的概念。未來伴隨著物聯網的高速發展，每年搭載TrustZone技術的ARM物聯網芯片將達到百億顆，安全和互聯將成為物聯網的重點。TrustZone安全技術將成為移動互聯網和物聯網安全的主要安全研究熱點。

啟明星辰安全研究員王啟澤介紹了TrustZone技術的背景，安全技術架構及在TrustZone安全技術的研究。著重對TrustZone技術的缺陷和攻擊面做了介紹，並提出了TrustZone在內核安全加固方面的思路。