在 Windows 端點偵測中 Hyper-V 等級一直被視為紅隊方難以拿下的王冠上寶石。也因此，在灰色產業鏈走得最前瞻的線上遊戲外掛與防護重度使用了 Intel VT 作為避免經典 BYOVD 核級別攻擊打穿防護的最後一道防線。然而這些現代化的反外掛引擎為達更優於微軟標配的系統威脅防護，逐步導入 Hyper-V 技術在「有效繞過微軟系統核心驅動級防護偵測」的前提下對 Windows 10+ 系統核心做出許多驅動級防護監控是否存在外掛行為 —— 但這種偵測做法是否惡意與有效？

知己知彼百戰百勝！在這場議程我們將會引領聽眾玩轉 Hypervisor 偵測防線和系統與其之間的架構設計關係，從拆解微軟基於 VT 設計的 Hyper-V 平台結構至反外掛引擎如何有效規避微軟 VBS（Virtualization-Based Security）與 Patch Guard 的眼線達成對 Windows 核心埋下產品修補程式的架構設計，並在議程尾聲提供關於端點偵測導入此類內核修補程式監控之方法與風險建議與指南。

正如同 VirusTotal 於 2021 年所報告每 15 億個樣本中約有 90% 是重複的且具有高度混淆、這迫使本是稀缺的專家人力在企業組織下實務調查分析中費時而雪上加霜，難以在有限時間專注於更隱匿且細膩的外部攻擊風險。隨著大型語言模型推進了 AI/ML 各項頂級資安解決方案的防護，在這一波 AI 演算法革命的浪潮中能否以先進的 Transformer 對於抽象符號理解能力建模人類專家推理的過程成為了新的一道曙光。

為扭轉這項來自外部攻擊的非對稱局勢，我們首度提出了一種新穎的 LLM 神經網路符號化執行引擎 CuIDA（Cuda-trained Interactive Decompile Agent）其借鏡了 Google 發表的模型 Attention Is All You Need 並專注仿生人類逆向專家推理的流程成為了可能 —— 透過未知函數之參數污點傳播來大規模從黑盒程序中學習 Windows APIs 的上下文語境理解、並有效捕捉開發者對於 Win32 API 的使用習慣，並成功攻克現代端點防護最具挑戰的三大困境 (a.) 非擬態 Shellcode 自動推理模型 (b.) 純靜態掃描的混淆指針推理器 與 (c.) 無需脫殼下的商業殼所保護行為之破譯。

我們也同時實戰這項新穎的模型在大規模田野樣本自動化推理中展現的實戰能力，並發現許多令人訝異偵測防護當前困境，例如在高達 3000+ 樣本的自動化調查中發現多數頂級資安解決方案遺漏了近 67% 樣本而未起疑竇、由於這些威脅濫用了 MSIL + x86 的混合交互執行特性；亦有多數樣本採用 Shellcode 作為混淆手段進行免殺、而我們的模型能單純以非擬態堆疊參數資訊進行有效推理並預測可能的風險行為組合。而在議程尾聲，我們也探索了商業加殼中最先進的混淆技術是否能被此模型的 AI 建模語義上下文理解所突破 —— 我們將開源並 Demo 使用此模型有效的仿生推理並取證調查 VMProtect 與 Themida 所保護的混淆程式碼之原始行為內容、展現了 LLM 對於逆向分析推理的經驗採樣與人類分析策略建模的可能性。

如同低軌衛星在企業、民用與關鍵基礎設施的火紅普及，使得衛星通訊的安全性成為全球日益關注的問題。這也促使諸多衛星解決方案的廠商正視並努力解決、逐步導入流量加密，使其用戶地端與高空衛星間的流量受到加密以避免可能來自地端的 Space Jamming 阻斷攻擊甚至中間人劫持連線以篡改通訊內容，然而加了密就確實等於安全嗎？

這場議程我們將陪伴聽眾進入探討地面廣播攻擊的旅程，從兩篇學術研究探討起實務逆向拆解衛星通訊設備後，駭客們如何從衛星數據機產品的軟硬體設計架構中找到加密設計的瑕疵、透過中間人劫持注入惡意韌體升級並再次拿下遠端執行權限。議程將會探討當前衛星設備調變與解調過程其高韌性的資料傳輸能力所帶來的安全代價、實務數據機與衛星溝通的困難中間人辨識問題，到攻擊者如何花式濫用組合這些技巧與可能達到的威脅，並於議程尾聲總結建議的回應或解決方案。

特徵碼——這是現代資安解決方案的基石卻也是研究員的夢魘。雖然其有著低誤報高準確的特性、但也需分析專家曠日費時戴上老花眼鏡的在二進位內容中肉眼尋覓獨特字串並撰寫為偵測基準，其耗費的人力資源成為當前安全行業的一大痛點。因此，能否導入人工智慧解決大規模惡意程式上的特徵碼撰寫成為了產業引頸期盼的問題共識、自也成為了新興的資安學術話題。

這場議程我們將從兩份在頂級研討會 AAAAI 基於 NVIDIA 開創性研究說起，如何以 Ngram 角度將執行程式的完整內容切片為多個具有原始程序開發者的語義、並以卷積視覺策略自動化提取出那些高熵且獨具開發者特色的字串定義為特徵碼有效查殺，並於八十萬支樣本的雙盲測試中達到 98% 偵測率，展現極為優良的語義偵測表現。並在議程尾聲我們總結了此方法落地於產品中的優缺與侷限性，以幫助聽眾能對此類偵測技術能有濃厚的興趣與認識。