【活動紀錄】HITCON GIRLS Chipchat Party

在這個忙碌的 12 月，我們非常榮幸地邀請非凡三位講師舉辦 Party ，分別是 Katie Moussouris、Kana Shinoda 和 Eva Chen！
什麼是 Chipchat Party 呢？其實是我們想要讓大家一起享用 Chip 時輕鬆愉快 Chat 的 Party ！顧名思義是不拘小節、快樂交流的場合喔！

【資安小百科】HITCON CTF 2016 導覽活動

想要更加了解關於 2016 年的 HITCON CTF 嗎？如果錯過 12/2 - 12/3 的導覽活動，還是可以看我們釋出的投影片，若是有任何疑問，歡迎私訊 HITCON GIRLS 粉絲團！

HITCON CTF 2016導覽 from HITCON GIRLS

• 若有任何問題，歡迎與我們聯繫：hgservice@hitcon.org

主講者：Turkey、虎虎、珣珣、阿旺

【採訪系列】希望未來女生學資安變成一件很普通的事情 - Ashley Shen

Ashley Shen

HITCON GIRLS 創辦團隊

專長：

Advanced Persistent Threat Research, Malware Analysis

經歷：

• Cyber Threat Analyst at Team T5 Inc.
• NTHU Information Security Lab
• Speaker at HITCON CMT, HITCON ENT, CodeBlue, Troopers

===============================================

【資安小百科】當安卓遇上虎克 : Android Hook - Xposed Framework

這次我們將介紹 Android Hook 概述，以 Xposed 框架（Framework）為例，並實作 System Clock 的修改！在此提醒，此份文件僅共學術研究，後果請自行負責（逃～。 XD

◆　Hook 介紹

　　Hook 英文單字為鉤子，其概念也如同鉤子一樣，意旨利用鉤子把 Android 系統內額外想要處理的流程資訊勾出來（Hook）並於修改後放回原處。　　在 Android 中可將滲透測試分為兩種類別：靜態與動態。常見的靜態分析是經過反編譯 APK 後，透過分析程式碼來理解整個 APP 運作流程並找尋是否有程式漏洞或人見人愛的Hard Code；動態則是在 APP 執行中，經由封包解析、Log 監看和 Hook 技術等方法來蒐集、監聽、試著竄改傳輸時的資料。
　　可以監聽 APP 與系統的通訊內容、也能竄改內部傳遞的相關資料，若想要透過Hook技術進行滲透測試，需要知道想監聽的服務和方法為何，再透過程式碼撰寫出Hook的行為。

◆　Zygote 介紹
　　Zygote 是 Android 的核心之一，由 init.rc 文件所建立的服務。其設計目的是為了降低系統記憶體與處理時間，透過共享的概念，讓新孵化出的程序不需要重新裝載一次資源。所有的系統服務（system server）以及APP（com.xxx.xxx….）都會經由 Zygote 孵化出來，舉例來說，當 ActivityManagerService 需要啟動一個新的服務，會通過 Socket 與 Zygote 進行溝通，以請求 Zygote fork 一個新的程序出來。而這個 fork 的行為，就會執行/system/bin/app_process，並產生出一個新的 app_process， app_process 就可以啟動一個新的服務了。

◆　Xposed 簡介

　　Xposed 是一套框架服務，能在不修改 APK 的狀況下，對 Java 層的函數進行 Hook，進而影響手機程序（Process）執行。其原理是透過覆蓋原有的 app_process 程序，讓每個 APP 啟動時能經過 Xposed，之後使用者就可透過該框架對目標服務或 APP 進行監聽或資料修改。若您對此有興趣，也可自行製作模組並透過 Xposed 執行，或是到 Xposed Module Repository（http://repo.xposed.info/）找免費的模組來玩。

• 若有任何問題，歡迎與我們聯繫：hgservice@hitcon.org

主講者：Elven Liu

Android hook 簡述 以xposed framewrok為例 (Elven Liu) from HITCON GIRLS

【資安小百科】App 的身體健康檢查 - Android 滲透測試介紹

你聽過 OWASP 嗎？你知道什麼是 OWASP MOBILE TOP 10 嗎？

• OWASP（Open Web Application Security Project）中文全名為開放 Web 軟體安全計劃，透過提供 Web 的 10 大風險、案例、技術指南、工具等，以協助政府或企業瞭解並改善 Web 的安全性。

• 而在2011年時，OWASP 另外針對行動裝置發表 10 大弱點風險（Mobile Top 10 Risks），以提供開發人員與維運單位進行 APP 以及行動裝置的安全檢測。

你知道你的手機 APP 存有哪些漏洞嗎？而這些漏洞會讓你暴露在什麼樣的危險下呢？就讓我們一起帶著你窺探 10 大弱點，以及使用 AppUse 來進行個簡單的實作吧！

• 若有任何問題，歡迎與我們聯繫：hgservice@hitcon.org

主講者：Elven Liu

HITCON GIRLS: Android 滲透測試介紹 (Elven Liu) from HITCON GIRLS

【資安小百科】那些年，你曾不懂的 CTF - CTF比賽介紹

什麼是 CTF 呀？Capture the flag 是什麼？是搶旗的意思嗎？他的賽制呢？是怎麼算分的？
讓不懂攻防搶旗賽的你，一同一探究竟 HITCON GIRLS 怎麼說吧！

• 若有任何問題，歡迎與我們聯繫：hgservice@hitcon.org

主講者：小魚 & 念奇

HITCON GIRLS: CTF 介紹 (小魚&念奇) from HITCON GIRLS

【校園演講】惡意程式分析與密碼學: 深入你不可不知的資訊安全

謝謝成功大學的邀請，讓 HITCON GIRLS 能夠有機會分享此次議程，我們的投影片如下：

演講時間：2015/04/28

地點：成功大學

若有任何問題，歡迎與我們聯繫：hgservice@hitcon.org

Section 1 主講者：蜘子珣

HITCON GIRLS 成大講座 基礎知識（蜘子珣） from GIRLS HITCON

Section 2 主講者：Turkey

HITCON GIRLS 成大講座 惡意程式分析（Turkey） from GIRLS HITCON

Section 3 主講者：阿毛

HITCON GIRLS 成大講座 密碼學（阿毛） from GIRLS HITCON