Black Hat Asia 年會參與心得 By Adr

Author : William Mou

關於故事

分析評審口味 ouo

• HITCON TALK

  • APT
  • 網站漏洞
  • 滲透

• Black Hat 專案大概類型

  • 整合網站分析工具/VPS服務測試工具
  • 假網路基地台/偵測假網路基地台
  • 藍牙設備測試工具
  • 機器學習偵測惡意程式
  • 一些知名到爛掉的專案 ex:Flare VM

挑選審稿委員一直很愛的題目
挑選以前從未被選上的冷門題目

自動化程式碼的編譯器（機器碼層級混淆）

夠冷門
對大部分人來說挺髒不想摸的領域

• Sum Up:怎麼提高題目被錄取的機會
  • 整合某個領域的技術成一篇稿件，整理得相當完美接近精華的境界
    eg:筆記小神童
  • 你的題目有夠冷門，冷到可以唱Let It Go，並且整合的夠完善可以讓聽眾耳目一新
  • 研究擁有重大突破，輾壓全場
  • 趁研討會打架時投稿。（黑暗兵法）

研究方式

• 養成訂閱資安推播文章，有趣的文章會由固定的資安專家推播
• 外國很多資安專家總是很大嘴巴的愛把研究進度/新的研究成果貼在推特上 XDD
  • SubTee
  • 與他的朋友

投稿專案細節–讓後門再次偉大

前導

• C++ Calling convention
  • 由C++經由編譯器轉成組合語言，可以由組合語言猜測c++語法
  • 若習慣使用IDA Pro反推c++，則可以如下隱藏實際要用的function
  • –> 干擾研究人員辨別惡意程式

    __ASM
        psuh 0
        呼叫 fun1
        
        fun1:
            呼叫message_box

    防毒軟體

• 使用特徵碼辨別惡意程式
• 藉由adr寫的C#，在得到機械碼後，可以將函數位置更改

成品

• 藉由__ASM替換或轉換呼叫，就可以做到大程度破壞原程式碼的邏輯
  • 插入垃圾程式碼
  • 混淆程式碼邏輯

克服問題

克服英文口說障礙

• 練到背起來
• 台灣人英文其實沒這ㄇ爛

事前練習

• 每一頁投影片大概要提到什麼重點

• 用英文句子練習這一頁怎麼解釋

• 相信自己英文沒那麼差

• 即使你英文講得很爛，大部分老外會很尊重的聽完你的分享

  • 但僅限於社群分享

• 把不尊重的外國人當Son Of Bitch，上面不適用於學術論文場合

跨國投稿分享

• 在Speaker晚宴認識一堆大神朋友潮棒der
  • 當你有一堆大神朋友，自己看起來也像大神了
• 有些很酷的想法或很ㄎㄧㄤ的作為
  • 奇怪ㄉ帽子
  • 現場酒品
  • 神奇的吊牌
• 對於參與研討會的心態也跟台灣不ㄧ太一樣
  • 問問題很多
  • 歡迎討論