在每年的7月底到8月中旬，就迎来了信息安全行业人员的盛典，当中充满了无限的期待和憧憬。今年黑帽安全技术大会（Black Hat Conference）将于7月22-27日在美国拉斯维加斯举办，为全球各国信息安全相关企业、专家们提供一个短时间、集中频繁的交流平台。从黑客大咖到全球顶级安全企业都将使出他们的浑身解数，为我们展示他们最新的技术探讨研究成果。

  黑帽安全技术大会（Black Hat Conference）创办于1997年，被公认为世界信息安全行业的最高盛会，也是最具技术性的信息安全会议。会议引领安全思想和技术走向，参会人员包括企业和政府的研究人员，更不可思议的是一些民间团队。为了能够更好的保证会议能够着眼于实际还可以最快最好地提出方案、问题的解决办法和操作技巧，会议环境保持中立和客观。

  2006年，云栖联盟成员安恒信息的总裁范渊成为第一个登台分享自己科研成果的中国人。

  在本届Black Hat的工具展示环节，将会为我们大家带来什么样的先进的技术呢？下面是将在本届Black Hat上发布的8款安全工具：

  云查杀技术给我们大家带来了更好的安全保障，但Klein和Kotler即将发布的这款工具将为大家展示，这方面任旧存在着巨大的安全风险隐患。端点和云之间使用的连接也可纵，并实施边信道攻击。他们将借助该款工具将为大家展示“渗漏（exfiltration）”技术，即使是在有着严格出口过滤保护的高安全性端点，也能成功实施攻击。

  信任是开展业务的一个重要基础。例如我们要信任我们的员工，同行和他们的技术。对这些不同的信任关系缺乏适当的管理或理解，就会无意中带来新的安全风险隐患，而GitPwnd就可以让我们利用他们之间的信任关系。GitPwnd是一款旨在渗透测试人员侵入计算机，并具有跨越开发环境能力的安全工具。在实际生产中，这些环境往往都具有严格的网络分段和日志记录。防御性工具通常会查找与正常用户行为不同的进程活动和时间。而GitPwnd会自己插入到共同的开发工作流中，从而能够较i好的避开这些检测。

  该工具旨在帮助安全测试人员探测处理器的弱点。Domas将在一场演讲中发布该工具，该演讲将详细的介绍可以筛选x86指令集，并查硬件故障和相关软件漏洞的处理器fuzz技术。

  佐治亚理工大学英特尔科学技术中心（ITSC-ARSA）的研究人员，将向人们展示如何突破基于算法分析检测的安全防护。他们将发布一款名为AVPASS的工具，这款工具可以轻松又有效地窥探Android反恶意软件检测模型，并将 Android恶意软件伪装成一款安全的应用程序。

  如果你可以拿到一台域环境下的WSUS服务器并取得管理员权限，则WSUSpendu会给你更多的惊喜。该脚本是由法国研究人员开发的，有了它渗透测试人能自主创建恶意更新，并将其注入到WSUS服务器数据库中随意的分发这些恶意更新。这些恶意更新甚至还可能被分发给那些与网络隔离的系统，威力可见一斑。

  GoFetch是一个自动执行BloodHound应用程序生成的攻击计划的工具。 该工具首先会加载由BloodHound生成的本地管理员用户和计算机的路径，并将其转换为自己的攻击计划格式。一旦攻击计划准备就绪，根据计划GoFetch会逐步向目标渗透，并应用远程代码执行技术，通过Mimikatz获取目标系统的用户凭证。

  他们演示并发布了不同的，可以检测通用加密API中漏洞的fuzz工具，这中间还包括RSA加密，elyptic-curve加密和对称密钥方案。

  随着本地桌面应用程序的卷土重来，Github的Electron跨平台桌面应用开发框架也慢慢变得受欢迎。而Electronegativity能够在一定程度上帮助渗透测试人员审计，基于Electron开发的应用中常见的设计级漏洞和实现错误。Electronegativity将会作为Electron安全模型全面讨论的一部分，中国黑客协会最新发布。返回搜狐，查看更加多