第六届安全开发者峰会于上海圆满落幕！

时间：2022-11-03

　　2022 年 10 月 23 日，以 " 共建安全新生态 " 为主题，看雪第六届安全开发者峰会于上海成功举办！聚焦数字化升级时代下网络安全的新技术、新发展，看雪与各位技术人员，一同探索新安全路线，共建更开放、更包容、更有活力、更有韧性的新安全生态。

　　峰会当天座无虚席，干货满满，现在就让我们来回顾一下峰会有哪些精彩内容吧！

　　首先感谢王铁磊先生担任本届峰会的特邀主持人，专业的技术点评及提问为演讲嘉宾与观众之间搭建了良好的沟通桥梁！

　　【王铁磊】北京大学博士，中国计算机学会优博论文获奖者，长期从事信息安全研究，在操作系统安全机制、软件安全漏洞自动化挖掘和攻防对抗、移动设备安全架构与隐私保护等领域有坚实的工作积累，实现了中国大陆在 TISSEC、IEEE S&P、NDSS 等信息安全领域顶级学术期刊 / 会议上以第一作者发表论文的突破，6 次在 BlackHat USA 发表长议题，围绕苹果操作系统做出一系列前沿攻防成果。

　　感谢 DarkNavy & GeekPwn & Keen 的创始人王琦先生为大会致辞，揭开大会序幕！

　　十大干货议题

　　1、《Parallels Desktop 虚拟机逃逸之旅》

　　Parallels Desktop 是款运行在 Mac 电脑上的极为优秀的虚拟机软件。议题分享了针对 Parallels Desktop 虚拟机逃逸这一目标的完整研究过程。详细的从基础准备、攻击面分析、漏洞挖掘等各个角度介绍作者是如何从零开始完成最终完成虚拟机逃逸的全部过程。希望可以给对漏洞挖掘工作有兴趣的听众些帮助和启发。

　　【黄涛：锦行科技安全研究员】曾在《看雪安全峰会》、《ISC》、《BlackHat USA》等会议上多次分享议题。对 iOS/macOS 有丰富的漏洞挖掘经验。目前在锦行科技负责二进制安全方面的研究工作。

　　本议题分享了针对 Parallels Desktop 虚拟机逃逸这一目标的完整研究过程，主要包括：如何选择合适的研究目标；漏洞挖掘的思路与大致流程；Parallels Hypervisor 虚拟机逃逸的技术细节；Apple Hypervisor 虚拟机逃逸的技术袭击。

　　2、《基于硬件虚拟化技术的新一代二进制分析利器》

　　ept hook 一直是二进制安全领域特别有用的工具，特别是在 windows 内核引入 patchguard 之后。传统的 ept hook 一般使用影子页切换，但实践中发现存在代码自修改，多核同步，host 环境容易被针对等问题。对此，程聪先生介绍了如何利用 kvm，配合模拟器实现无影子页 ept hook，巧妙的解决传统方法存在的问题。

　　在分析恶意样本时，常常会被反调试干扰，比如常见的软硬件断点检测。程聪先生介绍了如何利用 kvm 给现有的调试分析工具 ( ida,x64dbg... ) ，在无需任何改造的情况下，增加隐藏软硬件断点等反调试能力，实现降维打击。

　　【程聪：阿里云安全 - 系统安全专家】现就职于阿里云安全团队，曾就职于腾讯云虚拟化团队，拥有 7 年安全对抗经验，擅长内核安全、虚拟化安全、逆向分析、二进制攻防对抗。

　　本议题介绍了如何基于硬件虚拟化特性，配合模拟器，实现无影子页 ept hook，解决了传统方法存在的问题，同时介绍了如何基于 qemu/kvm 快速打造虚拟化调试器、内核级 trace 工具。

　　3、《国产智能网联汽车漏洞挖掘中的几个突破点》

　　国产智能网联汽车进入了辅助驾驶时代，发展非常迅猛，但安全问题也随之增多。本议题讲解国产智能网联汽车漏洞挖掘中的几种特殊方法和思路，也有对应的防护建议。供汽车相关安全研究人员和车企开发者参考。

　　例如：渗透汽车要准备哪些合适的软件和硬件 ? 如何找到并进入车厂隐藏的 " 上帝模式 "--- 工程模式 ? 如何提取车机系统固件，进而发现车辆终端和云端的漏洞等关键又有趣的话题。

　　马良先生从 2017 年到 2022 年的多次的智能网联汽车安全测试中，总结出来的测试套路和思路，题材均来自真实案例。本议题以实战经验的分享为主，不是对车联网架构的分析和攻击面的简单罗列。

　　在本议题中，马良先生讲解了国产智能网联汽车漏洞挖掘的几个实用的方法和思路，也有对应的防护讲解。此外还分享其常用的几个硬件和软件的使用经验。

　　【马良绿盟科技格物实验室高级安全研究员】具有十多年嵌入式软硬件开发经验 , 擅长智能设备漏洞挖掘。往届看雪开发者大会演讲嘉宾、HITB 会议演讲嘉宾。曾参加 Xpwn、GeekPwn 等比赛并获奖。多次挖掘智能设备和智能汽车漏洞经历。

　　国产智能网联汽车发展迅速，安全问题也随之增多，车联网安全研究任重而道远。本议题讲解了国产智能网联汽车漏洞挖掘的几种方法和思路，分享了几种常用的测车工具。针对车联网安全研究的萌新们，本议题也介绍了几种寻找研究目标的有效途径，并针对固件，提出了几种有效的固件提取方法以及固件所涉及的风险点。

　　4、《漫谈 AOSP 蓝牙漏洞挖掘技术》

　　蓝牙（Bluetooth）是当今一项广泛应用的技术，曾经将无线键盘或耳机连接到手机或计算机的每个人都知道并使用它。然而多年来，蓝牙被爆出了多个安全漏洞，攻击者通过多个攻击向量，可以导致拒绝服务，敏感信息泄露甚至远程代码执行。

　　本议题将以 AOSP 原生代码的蓝牙默认协议实现模块 BlueDroid/Fluoride 为研究对象，以 2017 年爆出的 BlueBorne 漏洞为引子，由浅入深的展示漏洞挖掘技术的相关细节。首先韩子诺先生简单介绍了 AOSP 蓝牙协议实现架构；接着通过对近年来蓝牙漏洞的归纳总结，确定所有可能的攻击向量和攻击面；然后韩子诺先生详细介绍了其使用的代码审计和模糊测试的一些技巧，通过这些方法其发现了 45+ 的漏洞，其中已分配 CVE 的为 30+ 个。最后韩子诺先生展望了一下未来的研究趋势，包含一些在 Android13 上可能的新攻击面和新的代码审计技术。

　　【韩子诺：OPPO 安珀安全实验室 - 高级安全专家】主要研究领域为 Android 安全，IoT 安全和车联网安全。在二进制漏洞发现和利用方面拥有 6 年以上的相关经验，累计独立发现并报告了数百个有效 Android 漏洞，连续多年位居 Google Android 漏洞挖掘排行榜前列。曾经在 Ruxcon，Zer0Con 和 Pacsec 等多个国际知名安全会议上演讲。

　　本议题以 AOSP 原生代码的蓝牙默认协议栈为研究对象，揭秘了几个历史漏洞。同时，本议题针对不同的攻击实战场景，总结了几种蓝牙漏洞攻击的方法如源代码审计、模糊测试、CodeQL 等。常见的蓝牙协议栈上的漏洞越来越少，研究人员还需密切关注协议新特性。

　　5、《从后门到漏洞——智能设备私有协议中的安全问题》

　　目前物联网智能设备的漏洞挖掘大部分集中在 HTTP、UPNP 等常见公有协议，私有协议是厂商自行设计并实现的，协议格式未知，漏洞挖掘难度较大，因此往往被大家所忽视。本次演讲以一个用于多个厂商的私有协议为例，讲解其中一系列漏洞的发现思路和细节，这组漏洞可能影响多个厂商数亿的网络设备。在这个过程中，魏凡先生着重探讨了非常规的漏洞挖掘思路。

　　起初魏凡先生在某厂商的一个网络设备上发现了一个设计非常精妙的私有协议，该协议 " 似乎 " 是该厂商预留的一个管理 " 后门 "。进一步探索后，魏凡先生发现一个 " 突破点 "，然后锁定了另一家更知名的网络设备提供商。

　　魏凡先生将研究范围扩大到了另一家网络设备提供商的设备，" 令人失望 " 的是，该厂商的设备对管理用户的身份进行了认证，不存在前面发现的 " 后门 " 漏洞。在进一步的漏洞挖掘中，魏凡先生发现了影响该厂商所有网络设备的三种不同认证绕过漏洞，这组漏洞具备相同的触发点，但存在完全不同的利用方式。

　　【魏凡：绿盟科技格物实验室 - 安全研究员】来自绿盟科技格物实验室，专注于嵌入式设备的漏洞挖掘，曾参加过天府杯和 GeekPwn，发现过 200+ 漏洞。

　　本议题从私有协议的特点出发，分享了私有协议逆向分析的几个关键点。除了找到协议 " 入口点 "、跟踪数据流向、逆向分析等常规漏洞挖掘思路之外，本议题还重点分享了一种非常规私有协议漏洞挖掘思路：以发现漏洞为导向，暂不考虑格式，先了解其功能，然后对其 " 脆弱点 " 进行重点突破。

　　6、《从应用场景看金融安全 — 逻辑为王》

　　在金融行业严格且特殊的安全体系下，尽管绝大多数漏洞都能被第一时间定位及修复。但 " 人性的弱点 " 使金融行业的不可控风险不再局限于钓鱼，隐蔽的逻辑漏洞正在悄无声息的成为风险 " 顶流 "。

　　试想如果攻击者通过一个逻辑漏洞转走钱，没有安全设备会告警，所有流量都 " 正常 "，等到财务清账发现异常为时已晚。企业和白帽子在寻找逻辑漏洞中往往都是点对点测试，没有系统性渗透方法。导致逻辑漏洞测试不全面或没有测试思路，研发在修复时也无法理解错误逻辑本身大大增加漏洞修复难度和业务风险。

　　本议题站在应用场景这个宏观视角，从研发底层思维出发去探索金融安全下的逻辑漏洞测试方法论，让逻辑漏洞无所遁形。

　　【蔡致远：安恒信息雷神众测安全专家】法国大学在读，主攻金融安全研究。目前雷神众测总排名第一，微博 SRC 安全专家。Packer Fuzzer 工具主创成员、Hack Inn 社区运营者。

　　功能点多了，就成为了应用场景。只要存在应用场景，就会出现未知漏洞。本议题基于应用场景的渗透测试，结合诸多真实案例，将应用场景关联金融安全，着重分析了由多个功能点造成的逻辑漏洞。使用基于应用场景的渗透测试和传统渗透测试相结合的方法进行测试，将有效提升金融系统的安全性。

　　7、《面向业务守护的移动安全对抗实践》

　　快应用小游戏是一种更轻更快的游戏新形态，用户无需安装，即点即玩。但部分小游戏开发者为了追求更高的利益，乱推广告，大大影响用户游体验。在这类新载体下，如何主动发现违规广告，实现小游戏环境净化？

　　应用体外弹窗广告泛滥，霸屏广告层出，严重危害用户信息安全。如何面应对治理难度日渐升级的流氓广告，保护好用户权益？

　　本议题从典型案例出发，分享作为手机厂商，该如何从技术侧提升能力与武器建设，治理恶意广告乱象问题，推动移动应用安全生态建设。

　　【朱远鹏：vivo 安全攻防专家】多年安全攻防对抗经验，vivo 千镜安全实验室骨干成员。

　　本议题从攻击者视角出发，针对游戏平台广告问题和移动应用流氓广告问题，提出了多种广告对抗思路如：研究新的绕过技术与应对方式、验证防御的完备性、复现攻击场景、挖掘安全缺陷的利用，具有很强的实践性。最后对未来广告对抗趋势进行了分析和总结，期望保障用户体验。

　　8、《Linux 内核漏洞检测与防御》

　　漏洞攻防是一个非常古老的话题，随着时间的推移，攻防对抗不断升级。随着内核版本的更新，内核本身也支持一些高级安全特性，可以缓解漏洞攻击，例如地址随机化、延迟释放、类型隔离等。同时也支持一些硬件安全特性，例如 CET Shadow Stack/IBT ( indirect branch tracker ) 。都可以有效地缓解漏洞攻击。

　　但在现实中，并不是这么理想。业务系统的内核，常年不更新，使用的往往是旧版本。漏洞修复不及时或不能重启系统，导致一些漏洞无法修复。

　　在这种恶劣的环境下，我们如何确保操作系统的安全性 ?

　　通过本次议题蒋浩天先生和张海全先生向听众讲解了如下内容：如何通过 LKM 的方式将高版本安全特性移植到低版本，如何通过编译器来实现 struct CFI，如何利用 intel pt 来实现漏洞检测。

　　【蒋浩天：腾讯安全云鼎实验室高级安全研究员】曾任职于 360、字节跳动，现就职腾讯云鼎实验室，拥有多年一线安全对抗经验。擅长二进制安全、虚拟化安全、游戏安全等，喜欢研究一些底层方向，将安全能力下沉，开启安全对抗的上帝模式。

　　【张海全：腾讯安全云鼎实验室高级安全研究员】就职于腾讯安全云鼎实验室，高级安全研究员，主要从事 GCC 和 Linux 内核安全功能研发，linux 内核源码贡献者。主要方向是漏洞挖掘，CFI 防御，编译器 sanitizer。致力于将漏洞扼杀在编译器中。

　　目前内核漏洞利用过程中，80% 的利用都依赖堆喷，本议题着重介绍了内核堆喷利用手法。此外，本议题还介绍了如堆喷干扰、ROP 防御、信息泄露缓解、安全状态监控等传统漏洞防御技术。同时，针对漏洞检测，本议题提出了基于 intel pt 的漏洞检测方案和基于编译器的漏洞防御方案，并对 struct_san 进行了开源，期望和业界一起探讨 CFI 技术的改进。

　　9、《Dumart fuzz：让黑盒像白盒一样 fuzz》

　　fuzzing 是一种最常用的漏洞挖掘方法。在有源码的情况下，现有的 fuzzing 工具已经非常完善了。可以实现路径反馈，asan。当然某些复杂场景下状态机的构造也是非常麻烦的。

　　但是在无源码的情况下，现有的 fuzzing 工具限制很大。比如 peach 等没有路径反馈和 ASAN，没法有效地 fuzz 深层次的代码；基于模拟执行做的 fuzz，如 qemu,unicorn，有路径反馈，但是状态机的模拟很困难，而且效率较低。本议题介绍了一种 fuzzing 方法，可有效解决无源码 fuzz 的所有缺陷，包括路径反馈，ASAN，以及方便地获得被测程序的状态机，并且更重要的是效率很高。

　　【陈振宇：个人安全研究员】擅长漏洞挖掘，安全攻防，有近 10 年安全相关工作经验。

　　目前，内存类漏洞占很大比例，Fuzzing 仍然是发现内存类漏洞的重要手段。本议题介绍一种 fuzzing 方法，可有效解决无源码 fuzz 的缺陷，包括路径反馈、ASAN 等，通过与其它黑盒 fuzz 工具比较，Dumart fuzz 表现出较高的效率。

　　10、《猫鼠游戏：如何进行 Windows 平台在野 0day 狩猎》

　　金权先生在本议题分享了近几年对 Windows 平台在野 0day 狩猎的部分思考和实践。主要介绍两个大类：Office 在野 0day 狩猎和 Windows 本地提权在野 0day 狩猎。

　　在本议题中，金权先生讲述了如何使用不同的工具来解决不同的问题，例如如何借助沙箱来狩猎 Office 在野 0day，以及如何借助 Yara 来狩猎 Windows 本地提权在野 0day。此外，金权先生还对近两年的热门 Office 在野 0day 和 Windows 本地提权在野 0day 进行案例分析，并分享了一些最近捕获的案例。最后，金权先生结合自身经验，就如何培养在野 0day 狩猎人才给出了一些建议。

　　【金权：安恒信息猎影实验室 / 卫兵实验室高级安全专家】

　　7 年网络安全从业经验，擅长 Windows 平台在野 0day 狩猎与 Windows 漏洞挖掘，多次捕获针对 Windows 平台的在野 0day，累计获得超过 40 次 Adobe 和微软的 CVE 致谢，2020~2022 连续三年入选微软 MSRC TOP 100。曾在 Blackhat USA 2022、HITB2021AMS、Bluehat Shanghai 2019 会议进行演讲。

　　在野 0day，指的是那些已经被用于实际攻击的零日漏洞。本议题讲述了如何用不同的方法来狩猎在野 0day，如通过沙箱狩猎 Office 在野 0day, 通过 YARA 狩猎 Windows 本地提权在野 0day，并对近两年热门在野 0day 案例进行了分析。最后，针对在野 0day 狩猎技术壁垒的问题，本议题提出了一些培养在野 0day 狩猎人才的建议。

　　圆桌会谈：供应链安全

　　交流中碰撞思想，沟通中凝聚共识。本届峰会邀请到了业内顶尖安全专家、大咖齐聚一堂，聚焦前沿热点话题，展开激烈讨论。

　　在安在新媒体创始人 & 总经理：张耀疆主持的圆桌环节，电信研究院云原生安全团队技术总监：游耀东、金山毒霸安全技术负责人：王鑫、兴业证券信息安全负责人：吴佳伟、悬镜安全合伙人＆华东区技术运营负责人：王雪松，就 " 何为供应链安全 "、" 供应链安全究竟是个新问题还是旧问题 "、" 为何供应链安全近些年越来越成为关注重点 "、" 如何去应对、解决 " 等问题进行了深入探讨。

　　趣味活动

　　还有，不来看看酷炫的极客市集吗？众多路过的嘉宾都被各个摊位上极富创意的新鲜小玩意儿吸引啦，展台人头涌动，足以可见火爆程度！感谢易念科技、Hacking Club、RC 反窃密实验室带来有趣好玩的展品！

　　各大展台也是人气满满，很多参会嘉宾驻足互动，赢取了各种各样的 " 战利品 "。看雪展台的不规则拼图游戏，激起了广大参会嘉宾的好奇心，每时每刻都有人在等着接受挑战！

　　在每一段休息时间，我们都设置了激动人心的抽奖活动哦！

　　恭喜这位天地气运所钟的幸运儿获得了终极大奖 iPhone 14！

　　另外，还要感谢两位不远千里赶来协助峰会相关工作的志愿者，感谢他们对看雪的热爱！

　　友商风采展露

　　看雪一路走来，离不开合作伙伴们的大力支持和帮助，你们的肯定就是我们前进最大的动力和底气。在此衷心感谢所有为看雪 2022 安全开发者峰会提供帮助的合作伙伴们！

　　感谢钻石合作伙伴、黄金合作伙伴：

　　看雪 SDC 简介

　　看雪安全开发者峰会（Security Development Conference，简称 SDC）是由拥有 22 年悠久历史的信息安全技术综合网站——看雪主办，会议面向开发者、安全人员及高端技术从业人员，是国内开发者与安全人才的年度盛事。

　　自 2017 年 7 月份开始举办的第一届峰会以来，SDC 始终秉持 " 技术与干货 " 的原则，致力于建立一个多领域、多维度的高端安全交流平台，推动互联网安全行业的快速成长。

　　大会将邀请业内顶尖安全专家莅临现场，议题覆盖 IoT 安全、移动安全、恶意软件、AI 安全、工控安全、软件保护等多个领域，紧抓当下前沿技术，为大家带来一场顶尖的技术交流盛宴！

　　主办方简介

　　看雪（www.kanxue.com）创建于 2000 年，是一个专注于 PC、移动、智能设备安全研究及逆向工程的开发者社区！同时也是最资深的安全综合服务网站之一！22 年来看雪滋养了大量安全技术爱好者，为网络安全行业输送了大批高质量的优秀人才。

　　感谢各位朋友们莅临峰会现场，让我们相约明年再会！