超级会员免费看
本文深入解析了EDR(终端检测与响应)的基本组件,包括终端防护进程、服务进程、注册表和内核驱动。讨论了如何通过篡改注册表禁用EDR,以及32位与64位系统的区别。针对EDR的用户层检测,如挂钩、内存扫描和堆栈跟踪,提出了绕过策略。同时,文章探讨了内核层的检测手段,并引发了关于免杀对抗本质的思考,指出大部分规避技术主要是为绕过签名,而真正的一次性工作和持续改进才是关键。
基本组件
EDR(终端检测与响应)实现防护的组件主要有以下几部分:
1、终端防护进程,负责扫描和识别是否为恶意文件,如MsMpEng.exe;
2、终端服务进程,负责启动和停止EDR相关服务、进程,如MsMpSvc.exe;
3、注册表,保证EDR相关进程在系统开机后立即启动,并初始化为PPL进程;
4、内核驱动,通过回调函数,监测来自内核的各种事件,如进程创建、内存分配等等;
从以上描述可以看出,防护进程、服务进程和注册表,主要完成用户态层面的工作;内核驱动则主要负责处理Windows提供的各项内核回调函数,实现深度监控。
自Windows 8.1起,微软引入了保护服务的概念。简单来说,就是通过内核驱动(Early Launch Antimalware driver)启动的服务进程,将无法被暂停、停止或着禁用。所以如果只是停留在用户态下,不管获取何种权限,都无法杀掉服务进程。
服务进程检测到防护进程下线时,会立马再次拉起防护进程。
EDR的注册表设置了相关的进程和服务以何种方式启动,假如我们能将Start项的值从0x2(开机后立即自动加载)改成0x4(禁用,禁止
订阅专栏 解锁全文
1718
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
