08.20，七夕节，同时也是XCon的节日。第一次XReward，在众多老朋友的支持下，如期举行。

一进会场，就有一种非常神秘的气氛。不光是出于对一向低调的XCON的好奇，更是因为发现在会场第二排早已穿着整齐静静等待会议开始的“神话”学员们。

简单和一些学员攀谈了几句，据了解，这是一个为信息安全技术爱好者们搭建的一个平台。他们经过大牛们的专业培训，今天演讲者，例如玩儿命和黑哥，他们都称之为老师，其它便一无所知，不肯再向我吐露任何细节内容。

他们究竟是一个怎么样的团体？他们具体做了些什么？他们的目标又是什么？这些问题在接下来一整天的演讲都在小编的脑海里围绕。当然，疑惑好奇的同时，也不禁对他们的未来，同时也对我们国家信息安全技术人才和安全生态圈的未来，充满了期待。幸好，下午呆总的演讲，给小编之前的疑虑一一做出了详尽的解答。

第一个上台的就是玩儿命（严文斌），他带来的《二进制编译器原理（软件保护方向的应用）》

“我经常说我是一个程序员，不是个黑客。”

很难想象在这样一个安全圈里大谈APT，渗透测试和漏洞挖掘的的环境下，还有这么一位在专注着计算机底层原理开发的大牛，同时作为一名创业者，在等待着改变这个时代。

玩儿命要做的东西，很简单，也很复杂。说它简单是因为他要考虑的就怎么利用那20几条的汇编语言指令，而不用去考虑种类繁多的渗透工具和繁杂冗余的大型编程语言；说它复杂，是因为他要做的事情，是基于计算机原理，非常抽象，并且几乎没有现成的库或者工具助他一臂之力。他要做的是一个二进制编译器。

“这次要讲的二进制编译器本身是我在做的一个项目，也是我创业的内容，一个移动端安全的原声保护项目。”

可以这么简单理解，我们去国外玩儿，语言不通，我们都需要有一个翻译。假设存在一种通用语言，它可以无失真地翻译为任何一种语言，任何一种语言的内容和逻辑也可以用它来表示，那么翻译本身的实质就可以理解为语言A转化成这种通用语言在转化为B语言。

他的二次编译也是这个原理。

通过对文件结构抽象的“共通性”的研究，以及寄存器和指令的抽象，这个项目不仅能实现文件格式的对转（PE、ELF和Mach-0）、不同平台的指令编码的对转（ARM和x86等）以及软件保护方向的流程控制和指令控制，这不同于在壳中插入花指令，而是在要保护的代码段中，即要解决代码的的重定位问题，真正实现保护代码和目标源代码的融合。

当然，还可以通过正则表达式对事先编写好的指令模板匹配，实现“匹配状态位、描述逻辑关联，并自动生成反汇编器”。除此以外，还可以实现真正的“乱序”，从而增加别有用心的人逆向工程的难度，从而实现软件保护。

“我对计算机原理的喜欢远高于对安全技术的喜欢，喜欢从二进制上做事情，所以我一直说我是一个程序员，不是一名黑客”

上午第二场是知道创宇的黑哥（周景平），带来的《Web应用安全之殇》

“安全意识，都是不认为是问题的问题”

Web服务是互联网服务的基础，殇，即痛点，那么，Web应用的痛点到底是什么？默认“官方不靠谱”的黑哥，从开源是否等于安全？小企业是否会考虑安全？以及在官方不靠谱的情况下，我们（知道创宇团队）应该做点什么这三点来展开这场演讲。

首先是开源的问题。黑哥认为开源和安全有没有直接关联，这个问题争论意义不大。他认为开源才是不安全软件的重灾区。

“即使在开源软件代码里放了后门，就摆在那里，又有多少人会发现？”

还有那些开源软件的下载站点，据他们团队将网上开源代码下载并自动分析后门、恶意代码后统计，这些第三方开源代码下载，有可能是因为“官网”被黑了，有可能是第三方站点被黑了，里边供用户下载的代码或程序也是问题多多，监控很有必要。

第二个问题，小企业会考虑安全么？答案是，基本不会，因为“用户的安全关他们什么事儿”。即使是一些大企业，在收到安全问题的反馈，给用户做出更新补丁的时候，大多数也都只是为新用户做出了更新补丁，而那些还在使用老版本的用户，安全风险则不会减少，更有甚至，在“官方”下一个版本的下载中“偷偷”打上了补丁，而不告知用户曾经存在的风险和修复情况，还有“官方”自己偷留后门的情况。这些行为是非常不负责任的，因为作为“官方”，既然以“官方”自诩，就要对所有用户的安全问题负责。

最后，他们做了些什么？他们对很多官方的提供下载文件，在很短的时间内，下载，比对，来监控官方提供的下载文件是否有被篡改的情况，当然，这有可能是官方自己干的。

“Web应用安全现在做了的事情还很低级，还有许多值得我们去做。通过一个系统的剖析，我们可以做的事情还有很多。”

下午的第一场是P0tt1的《“小学生”级别的大数据防欺诈》

“大家好，我是来撕逼，呃，不，我是一个Speaker”

P0tt1本身是做Web安全和渗透的。据他说，这次之所以挑了一个这样的题目跟大家分享，一是因为自己的亲身经历，涉及个人金融业务的信用打分评级问题受一些无良“防欺诈”公司不良影响，同时也谈谈现在那些所谓的“大数据”公司的数据问题以及他认为的大数据和第三方大数据防欺诈应该是什么样子的。

大量的数据，置信值，这都是一家大数据防欺诈公司在给银行的客户提供信用评级的时候所用到的。然而，单一的置信值，不可靠的数据来源，单纯的体积大，而不是种类多的“大数据”，以及根据以上这些所进行的“不真实的”得分评级，给许多银行及涉及信用借贷业务的用户造成了很大的麻烦。

“许多小型征信公司的数据来源，与社工库无异。我们甚至在某网站放了一个我们自己做的假库，并声称是通过撞库得来的某电商网站的用户信息，而这些数据，我们居然能在那些征信公司的数据库中检索到。当你追问他们的数据来源是不是社工库时，他们只会说，社工库是他们的一部分，其它便无可奉告。”

“大多数防欺诈公司几乎都没有信息关联的分析。试想如果一个信誉极差的人，有个信用等级极好的朋友，那么通过借持，银行和这些防欺诈公司根本无法发现其中的金融风险。我认为没有解决信息关联问题的防欺诈平台给出的结论，是没有任何说服力的。”

对数据不校对、不甄别的行为，是对用户的不负责。而这些“大数据”中，又有多少的真实数据？

“这些小学生的玩具，但却开始影响我们的正常消费需求”

“安全、可信、可持续的数据来源，是存在的。”

“最后，一个合理可信的第三方大数据防欺诈平台，我认为它应该是这样的”

之后，是两个非常有技术含量的演讲。

一个是来自奇虎360独角兽团队单好奇的《飞蜂窝小型基站借持》，一个是盘古团队王铁磊的《iOS过程间通信安全探讨》。

之前，这两个团队，都有其他成员在前两天的XCon上做过演讲。

奇虎360的独角兽团队专注于无线安全领域的研究，并在今年的Black Hat和DEFCON上都有精彩的演讲。

“大家应该都听过Black Hat上对于智能汽车的入侵。这次带来的对飞蜂窝（不是伪基站）的破解借持，正是汽车攻击的基础。因为是合法运营商的设备，成功破解后运营商很难发现和修补。当然，他们可以在硬件模块上加入防篡改的可信机制，不过成本的增加所带来的负面影响也让这个想法几乎成为天方夜谭。”

“作为用户，我们无法防范。但是厂商的开发人员应该提高安全意识，因为这本就是他们的一时疏忽。”

王铁磊的演讲可谓当天最“充满情怀”的演讲。于2009年第一次登上XCon的讲台的他，时隔6年，再次回归，回馈这个带给他许多朋友和启迪的地方。

“苹果公司iOS一整套的安全设计使其成为一种非常难以破解的系统。”

演讲主要是Mach Message和XPC的漏洞分析展开。Mach Message利用起来很复杂，而XPC，实现了对Mach Message的封装，但同时引发了一系列的XPC成员解析类型混淆漏洞。但是，苹果公司的修复策略很底层，一下干掉了一批漏洞，使得他们只得通过Fuzzing来寻找新的突破点。

最后是呆总的演讲《我们还能做点什么》

还记得之前我们提到的神秘的“神话”学员么？没错，这就是呆总今年的一个成功实现的idea。

“我们今年创办了‘神话’，一个给年轻人的一个机会，一个平台。他们参加比赛（CTF），他们要一起训练，学习，还要面临层层筛选。到目前为之，已经过了两个月的时间，这个活动还有四个月，现在已经从最初的30人到现在20人左右，我们最后还要给大家一个成果展示。”

当然，呆总的想法不仅仅是一个比较长期的summer camp，这是一个非常真实的平台。

“APT攻击和CTF比赛的性质是完全不一样的”

比赛有比赛的技巧，而真正的黑客攻击，没有规则，不限手段，不限时间，可能发生任何的破坏性后果，而这些，只有在真实的攻击环境下学习和锻炼，才能有更好的成长。

“所以我们会提供一个真实的平台，会有真实的服务上线，这是一个不断进化的平台，他们（神话学员）要对平台不断修缮，同时他们也不断成长。到了后期，我们还会上云服务，上电子商务，上虚拟交易平台，我会往里面存钱，只要你能拿，你就可以拿走。只要你有创意，我们就可以一起玩儿。”

“我们相信，一个开放的环境，会开创一个全新的对抗模式”

当然，除此以外，神话学员还会成立一个针对智能硬件的破解、研究和创新的特别小组，并参加一些活动，比如说360的HackPwn。

除了神话，还有一个大事儿，就是明年XCON的15周年纪念。除了邀请历届演讲者的回归和更多的国外技术大咖的交流，它有着更深层次的意义。

“XCON是一个针对深层、底层且有一定前瞻性的技术活动。它不光是一个交流技术，结交朋友的平台，更是一个集市，一个场景，自由、开放、充满创意和多样的展示形式，并借此推进整个产业的发展。”

X集市，我们不收钱。我们一起玩儿！