9月25日,全球頂級(jí)安全技術(shù)峰會(huì)SyScan360在北京國(guó)家會(huì)議中心火熱進(jìn)行中,包括蘋果“越獄大神”StefanEsser在內(nèi),14名國(guó)內(nèi)外頂級(jí)安全專家亮相演講,數(shù)百名信息安全專業(yè)人員參會(huì)。作為演講嘉賓,360工程師王宇連續(xù)兩屆參加SyScan360,并發(fā)表了《NtVdm子系統(tǒng)拾趣》主題演講。據(jù)悉,王宇在去年SyScan360演示了一個(gè)Windows內(nèi)核0day漏洞攻擊,并將該漏洞細(xì)節(jié)報(bào)告微軟公司,從而受到微軟安全公告的公開致謝(MS13-036)。
圖:360安全研究工程師王宇
王宇長(zhǎng)期從事360云安全解決方案的研究、Rootkit/Anti-Rootkit相關(guān)分析、攻防、漏洞挖掘等方面的工作,在安全領(lǐng)域積累了豐富的經(jīng)驗(yàn)。在去年的SyScan360技術(shù)峰會(huì)上,王宇就曾作為演講嘉賓出席,進(jìn)行了《深入理解Windows字體解析引擎漏洞》的精彩演講,深度剖析了惡意程序利用Windows字體解析引擎漏洞的執(zhí)行流程,今年他的演講議題則瞄準(zhǔn)了NtVdm子系統(tǒng)。
圖:王宇在去年SyScan360披露發(fā)現(xiàn)的Windows漏洞獲微軟致謝
據(jù)了解,NtVdm子系統(tǒng)是一個(gè)有趣但又不太引人注目的Windows組件,但正是因?yàn)樗拇嬖冢覀儾拍茉赪indows平臺(tái)享受DOS游戲所帶來的各種樂趣。但是,NtVdm的安全性又時(shí)常被忽視,著名的CVE-2004-0208(#UD)、CVE-2010-0232(#GP)漏洞及最近的CVE-2012-2553等漏洞,將NtVdm子系統(tǒng)的安全問題暴漏出來,再次引發(fā)關(guān)注。
王宇在演講中詳細(xì)分析了NtVdm用戶態(tài)與內(nèi)核態(tài)的實(shí)現(xiàn),闡述虛擬機(jī)引擎的工作原理,解釋上述漏洞的成因,以及可以從中得到的教訓(xùn)與思考。王宇在演講中多次選取當(dāng)前比較被關(guān)注的技術(shù)案例作為范例,生動(dòng)形象的揭示了一些漏洞的原理。
通過對(duì)上述課題的研究,王宇在現(xiàn)場(chǎng)和參會(huì)者講述自己技術(shù)研究成果,同時(shí)也分享了自己對(duì)于技術(shù)攻防的一些心得。王宇的觀點(diǎn)認(rèn)為,從攻擊的角度看待:堅(jiān)持不懈,永不言棄,注重積累,將攻擊知識(shí)融會(huì)貫通。從防御的角度看待:無知者無畏,未知攻焉知防?千里之堤,毀于蟻穴,任何時(shí)候都不能掉以輕心。
本屆SyScan360與上一屆相比,無論是規(guī)模、參會(huì)人數(shù)還是業(yè)界關(guān)注度都有了進(jìn)一步提升,是目前國(guó)內(nèi)舉辦的最高規(guī)格安全技術(shù)會(huì)議。為期兩天的會(huì)議進(jìn)程涵蓋了Windows、Android、iOS等從PC端到移動(dòng)端絕大多數(shù)領(lǐng)域的安全議題,全球頂尖的安全專家在現(xiàn)場(chǎng)分享了最新最前沿的安全技術(shù)和研究成果。25日上午,360公司還特別設(shè)置了有趣的破解SyScan360電子胸卡的“黑客破解挑戰(zhàn)賽”,前三名破解成功者獲得了iPhone5S手機(jī)作為獎(jiǎng)勵(lì)。