为了解决 DLL Hell 所导致的一系列问题，微软从 Windows 98 开始就引入了 Side-by-side assembly (SxS) 技术来管理系统中的众多DLL。然而，这一有着悠久历史的技术在设计上却存在着重大的安全缺陷，任意用户都可以利用它来获得系统最高权限。 本议题将回顾 SxS 的设计思路，分析 SxS 的工作机制，并在此基础之上阐述其中存在的安全缺陷，以及如何利用该缺

随着技术的发展，人脸识别关技术在我们日常生活中的应用场景越来越多，尤其在金融领域人脸识别甚至被广泛用于用户身份的校验，各手机银行APP会通过人脸识别验证用户身份从而完成登录、修改密码等操作，甚至支持人脸识别校验后直接转账，移动端人脸识别的安全性得到更多的关注。 本议题将结合自己多年来在黑灰产技术研究、应用安全测试等工作中的积累，向大家介绍人脸识别技术在移动APP领域的应用现状，整理常见的攻击

梅赛德斯.奔驰汽车是世界顶级的豪华汽车品牌。本次研究的主要方向的是奔驰汽车NTG5.5车机系统的安全，研究NTG5.5车机的软硬件架构及其存在的安全问题，在研究过程中研究者发现了多个安全问题，并入选了梅赛德斯.奔驰汽车安全研究名人堂。 本次议题主要分三部分进行介绍。 1、背景：这部分主要对梅赛德斯.奔驰车机的发展及目前的安全研究进展进行了介绍。 2、研究过程：接下来对研究所涉及的

1、研究灵感 研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同，因为二者使用的加固混淆器、使用的指令集都不同，且移动端app涉及到程序与安卓框架和native接口的交互。因此，该研究放在“恶意软件”、“移动安全”方向较为合适。 2、该研究提出了什么新概念或方法？ 针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序，分别提出较为

对抗样本（adversarial example）为深度学习应用带来了巨大的安全隐患，其中基于迁移的攻击（transfer-based attack）利用在替代模型上生成的对抗样本直接攻击目标模型，不需要接触目标模型，容易在现实场景中进行部署，引发了广泛的关注。 本议题将聚焦于图像识别领域中基于迁移的攻击，从动量、输入变换、目标函数和替代模型四个方面概述目前的研究进展、详细介绍我们近期提出的

本次议题是分享我在Oracle WebLogic产品中的漏洞挖掘思路，我收到了Oracle WebLogic产品14个CVE编号，我将分享我在Oracle WebLogic产品中发现漏洞的细节和挖掘过程。在议题最后我会分享如何反制Oracle WebLogic攻击者。