Posts for: #Startup

XCON 2006将有精彩议题呈献

欢迎大家注册参加 :)

Adrian Marinescu

关于 Adrian Marinescu:1998年至今,Microsoft公司Windows内核开发小组组长,他参与了部分用户模式内存管理的核心组件,内核对象管理和内核进程间通信机制。在堆管理领域,Adrian设计和实现了低分片堆(Low Fragmentation Heap),这是Windows堆管理器的额外扩展,目前他专注于减少和减低部分已知堆攻击可靠性的技术。

议题名称: Windows Vista堆管理加强 – 安全,可靠性,性能

议题介绍: 所有应用程序和操作系统都有编码错误,我们看到很多先进的技术已经运用在攻击与防御上,因为越来越多的安全漏洞的利用涉及到应用本身和操作系统内存的堆操作。不过W2k3和XP/SP2 Windows系统的混合技术大大减低了这类攻击的可靠性。Windows Vista的堆管理在这个领域里推到了一个更新的高度。此讲述将描述处理堆所面对的挑战及Windows Vista中所带来的技术改变细节。

CoolQ & 罗宇翔 & 孟策

关于CoolQ:安全研究人员 专业兴趣为新型木马、取证技术及代码的自动化审计 关于罗宇翔:中国科学院软件研究所硕士研究生,主要研究方向为安全操作系统,对系统内核级开发比较熟悉(Linux/FreeBSD)。对编译器和源代码静态分析技术也比较感兴趣,目前在参与研究和开发一个基于源代码的缺陷自动化分析工具。 关于孟策:本科毕业于清华大学计算机系,目前在中国科学院软件所攻读博士学位,涉及的研究方向包括入侵检测、审计以及安全操作系统,曾为国家863项目设计开发入侵检测报警分析工具。在专业领域兴趣广泛,对于计算模型、算法和密码学都有所涉猎。

议题名称: 利用GCC进行代码的自动化审计

议题介绍: 随着软件功能日趋复杂、代码体积不断膨胀,软件存在的缺陷难以靠人工逐个排除。当你千辛万苦发现了一处Bug,面对成千上万的代码,你还有勇气手工一个个排除么?通过修改GCC的代码,你只需以对软件的逻辑缺陷进行描述,就能通过GCC提供的便利条件对该类Bug进行自动化查找。

Darkne2s & A1rsupp1y

关于Darkne2s:是华永兴安科学技术有限公司安全研究小组最年轻的安全研究员,喜欢研究各种操作系统安全,尤其在php的内核安全上有较深的研究 关于A1rsupp1y:注重linux内核安全研究及各种系统安全,同时也对php zend加密的还原技术感兴趣

议题名称: 破解 PHP Zend

议题介绍: 越来越多的商业PHP程序开始使用Zend Encoder来保护源代码的安全,防止代码被分发和盗用,一直以来对此类加密技术的还原方法都未公开,此议题对还原技术进行研究,达到99%的还原能力,也证明了Zend加密是完全可以被破解的

Dave Aitel

关于 Dave Aitel:是全球安全圈内在漏洞发现和fuzz方面最早期的专家之一。他的 SPIKE Fuzzer Creation Suite已经被商业和政府机构用于测试网络协议超过五年之久。他是 Hacker’s Handbook 以及 the Shellcoder’s Handbook的作者之一 ,是 Immunity公司( 一家迈阿密的信息安全公司)的创始人和公司现任的CTO。 Dave Aitel 最早是国家安全机构的计算机研究员,之后在@stake( 一家安全咨询公司)工作了几年,最终创建了 Immunity公司。 Immunity的产品 CANVAS被用于渗透测试公司,政府机构,大型财务公司以及其他一些想要模拟信息攻击以保护基础设施的公司。

[阅读全文]

写到哪儿算哪儿

沈总看了我的这篇牢骚,给了我些建议,比如看看吴思的文章,例如这篇《硬伙企业》。多谢沈总了。 牢骚着这件事,一方面固然是做不到“玲珑剔透”,修养也不够,嘿嘿,火冒三丈了。另一方面,却是杞人忧着天,担心大厦将倾,覆巢下难觅完卵。

有人说,企业的头儿做事风格、方法会在一定程度上影响员工,沈总还是对我有不小影响的。比如有一回(应该是四年前)我向沈总抱怨了很多,包括公司管理、某些制度乃至一些小细节上的问题,他告诉我:一年中解决关键的一到两件事情。 当时不太理解,后来想起来,的确只要解决了核心问题,我所提的各种细节,大都会在解决关键问题的过程中被组织自己调节优化。(当然,解决核心问题的时候还是需要关注细节有没有可能酿成大错。)我到现在还记得,自己也这么做着,时不时还拿出来“教育”别人 :D

写BLOG之所以坚持下来了,最初只是一种展示欲望。到后来,觉得有助于锻炼自己的思考以及文字组织的能力。再后来和glacier一起做了大成天下,就希望记录下创业过程遇到的困难,感受到的快乐,等等等等,沈总的BLOG号称主要是“交流育儿经验”,其实我这里也是 :)

公司成立一年半了,遇到的问题其实很多:刚开始,完全两手空空,钱是个贯穿始终的大问题;核心团队都是技术人员出身,缺乏客户资源的积累和销售经验;优秀的人才难找,英雄几乎是无法复制的,那要找什么样的人来补充目前的缺陷…… 也有很多问题一直和glacier在讨论:是否要找投资?是否要抱个粗大腿?渠道怎么做,走区域还是走行业?怎么考察合作伙伴? 不管怎么样,还是跌跌撞撞地前进着。一岁多的孩子,该学会自己走路和说话了,试试吧。相信能行的,何况身边有这么多良师益友在看着 :)

公仆!又见公仆

事情的经过是这样的:

1、2005年的某一天,某公仆单位(请原谅我不敢直接写出单位名称)号称有购买需求,通过朋友A向我们索取产品的试用版,并希望我们提供无限IP的试用KEY。销售机会上门,大好事,我们欣然提供; 2、2005-2006年间,该公仆单位因为Key过期,陆续又索要了几次,仍然号称试用。直到最近的某一天,他们还要试用时,我们提出,这是个商业产品,如果无限期试用下去,不太合适。 3、公仆单位让我们公司的负责人马上给他们打电话,电话中,他们没有提到KEY的事,只是很严肃地让我们下周一去他们单位,要备案,另外关于产品,有问题和我们探讨。于是我只好说,我们目前产品的重心转到铁卷上了,那款产品现在没有销售。另外请教他要备什么案,要探讨什么问题。他们说我很拽,挂了电话。 4、过了一会,朋友A给我打电话,说该公仆单位打电话骂了他一通,说我很不配合公仆的工作,很拽。如果我继续这样,他们要来查我。记得有人说过,不要得罪小人,有些人,不一定能帮你办成什么事,但一定能坏你的事。我屈服了,又给了一年的无限IP的KEY。 5、朋友给他们打完电话,转告我说:他们说那就行了,不用来备案,不用来交流了。他们只是要用你的东西罢了,在这个地面上,他用你的东西,还要给钱吗?

我慢慢不理解人民公仆为人民的含义了。一家初创的小公司会遇到这些问题,人民会遇到什么? glacier说,应该加上一句“本故事纯属事实,如有雷同,请对号入座。”

国内电子文档保护产品对比

ChinaCISSP论坛上有一篇《国内电子文档保护产品对比》,这种文档估计做防泄密产品、电子文档安全产品的厂商内部,应该都有更完整的版本。甚至会有详细的竞争产品测试报告、BUG报告(包括绕过的方法😛)等等。但那类文档的“攻击性”太强,估计不会有人愿意公诸于众的,所以这篇算是写得不错的了,推荐一下 :)

点击下载《国内电子文档保护产品对比