基本组件
EDR(终端检测与响应)实现防护的组件主要有以下几部分:
1、终端防护进程,负责扫描和识别是否为恶意文件,如MsMpEng.exe;
2、终端服务进程,负责启动和停止EDR相关服务、进程,如MsMpSvc.exe;
3、注册表,保证EDR相关进程在系统开机后立即启动,并初始化为PPL进程;
4、内核驱动,通过回调函数,监测来自内核的各种事件,如进程创建、内存分配等等;
从以上描述可以看出,防护进程、服务进程和注册表,主要完成用户态层面的工作;内核驱动则主要负责处理Windows提供的各项内核回调函数,实现深度监控。
自Windows 8.1起,微软引入了保护服务的概念。简单来说,就是通过内核驱动(Early Launch Antimalware driver)启动的服务进程,将无法被暂停、停止或着禁用。所以如果只是停留在用户态下,不管获取何种权限,都无法杀掉服务进程。
服务进程检测到防护进程下线时,会立马再次拉起防护进程。
EDR的注册表设置了相关的进程和服务以何种方式启动,假如我们能将Start项的值从0x2(开机后立即自动加载)改成0x4(禁用,禁止