超过4500人参加的Black Hat USA 2008大会

　　2008年8月6日，第12届Black Hat USA大会在美国内华达州拉斯维加斯的凯撒皇宫酒店揭开了帷幕。在为期2天的Black Hat Briefings会议中，共有来自全球的超过4500名参会者来到酷热中的拉斯维加斯，这些人囊括了全世界最著名的软件安全厂商、独立安全研究人员和众多的黑客。

　　作为全球领先的安全会议，Black Hat大会上公开的研究成果都是信息安全领域绝对的热点，所涉及的领域从互联网接入、Web应用安全，到路由器、服务器操作系统的安全，涉及面之广，参与人员之多，在世界上都是无可比拟的。Black Hat的创始人Jeff Moss希望将Black Hat办成一个学习和分享技术的大会。下面就让我们一起来看看这个代表技术自由、言论自由和行为自由的全球最大的Black Hat(黑帽)安全大会，今年给我们带来了怎样的惊喜?

　　Black Hat & Defcon的创始人Jeff Moss与本文作者合影

　　今年的开场讲演是由来自英国伦敦London School of Economics管理学院的Ian Angell教授所做的，他的题目是：Complexity in Computer Security – A Risky Business。在Angell教授风趣生动的点明计算机安全的极度复杂和多变之后，Black Hat展开了二天13场不同主题的讨论会，分别是：Root Kits; 0-Day/0-Day Defense; App Sec 1.0/2.0; Bots & Malware; Deep Knowledge; The Network; Over the Air; Reverse Engineering; Forensics; Hardware; Web2.0; Virtualization和Turbo Talks。下面就让我们一起来看看其中的精彩展示。

　　Root Kits

　　作为“攻击者用来隐藏自己的踪迹和保留root访问权限的工具”，Root Kits从上世纪90年代起已经出现在黑客的标准制式武器中。近几年来，随着系统软件的不断更新和多任务系统应用，Root Kits又重新引起了人们的极大关注。今年Black Hat的Root Kits有几大看点，分别来自CPU厂商Intel和针对苹果OS X系统的应用。

　　看点1(Intel Inside of Security?)：来自Intel公司安全中心的Yuriy Bulygin给我们展示了如何使用英特尔虚拟化技术来分析恶意软件的技术。它的原理在于利用英特尔芯片中的虚拟扩展技术(virtualization extensions，VT)来规避恶意软件对虚拟机和物理机的检查。也许在不久的将来我们就会见到Intel Inside of Security的标识出现。

　　看点2(好苹果?坏苹果：OS X)：你可以想象一个从核坏掉的苹果会是个什么样子吗?Jesse D’Aguanno给我们展示了Crafting OS X Kernel Rootkits的技术，从浅入深地讲述了OS X Kernel XNU的由来和其设计上的弱点，并对Kernel Extensions(KEXT)做深度解析。然后用了一个实际的例子来做System Call Hooking和Network Stack Hooking的展示，整个过程相当精彩。

　　0-Day和0-Day防御

　　笔者记得三年前的Black Hat 2005会议上，安全研究人员Michael Lynn曾经发表过如何未经授权就在Cisco路由器上执行shell code代码的报告。随即Cisco公司在Black Hat会议之后以侵犯知识产权为由，将Lynn和Black Hat会议的组织者告上了法庭，从而引起软件安全业内的轩然大波。作为今年Black Hat大会白金赞助商的Cisco，终于又向针对Cisco路由器攻击方面的研究敞开大门。而来自英国Information Risk Management Plc.的二名资深技术顾问Gyan Chawdhary和Varun Uppal则给我们带来了一场精彩的Cisco IOS Shellcodes展示。其中包括了IOS Debugging，IOS Shellcodes Development tools的使用，如何Building IOS Shellcodes等实例。

　　作为软件业巨头的微软，在今年的Black Hat推出了一项针对第三方软件厂商的举措，那就是微软的积极保护项目(Microsoft Active Pro9 7 3 1 2 4 8 :