前言概述

终端安全一直是安全行业里面技术对抗最激烈的战场，黑客与安全厂商的技术对抗主要就是体现在终端安全对抗层面。

从早期的杀毒软件发展到现在各种新型的终端安全产品，例如当下比较流行的一些终端安全产品EDR、XDR等，不管产品名称怎么变，核心的东西一直未变，安全能力的基座也从来没有改变过，搞来搞去无非就是解决病毒木马与漏洞问题而己，只是不同时代的病毒木马表现形式不一样，解决方式不一样，同时不同时代流行的病毒家族、攻击手法、运营方式不同而己，现在病毒木马己经被统称为恶意软件的种类之一，恶意软件种类被分的很细了，除了病毒木马，现在还有很多其他类型的恶意软件，例如大家熟知的挖矿、勒索、下载器、加载器、远控、后门、APT特马等等。

笔者给大家推荐一个EDR检测与攻击技术学习网站，里面包含的一些技术点，也是最近几年安全厂商和黑客常常使用的一些技术防御和对抗点，网站链接：

https://blog.deeb.ch/posts/how-edr-works/

对EDR检测和攻击技术感兴趣，或者正在从事EDR开发的朋友们可以多多学习研究一下这个网站的一些技术点，这些都是最基础的一些EDR对抗技术点，随着黑客的不同深入研究会研究更多的EDR攻击技术，同时安全厂商在捕获到最新的攻击样本之后，通过分析也会研究出最新的防御手段，这是一个持续对抗，不断升级的过程。

EDR检测与攻击

EDR检测

EDR的检测，其实主要分为三大类：

1.文件检测

2.内存检测

3.行为检测

[出自:jiwo.org]

EDR攻击

有检测就有对抗，黑客为了逃避安全厂商的检测，也是从上面三种方式对抗免杀，一般分为：

1.静态特征免杀

2.内存特征免杀

3.动态行为免杀

EDR主要通过动态行为和事件来进行检测和响应的，所以针对EDR的攻击，主要使用内存特征免杀和动态行为免杀，需要解决的一些技术点包含：

(1)命令行欺骗技术

(2)PPID欺骗技术

(3)ETW补丁技术

(4)AMSI-AV补丁技术

安全公司的安全产品是由开发人员开发的，但往往大部分的开发人员，事实上并不具备专业的安全知识，导致开发的产品安全能力上不去，或不能及时有效的解决最新的安全问题，导致客户不满意，任何一个安全产品都需要长期的安全运营，不断的更新里面安全特征，才能保证企业的安全产品能及时有效的解决遇到的最新的安全问题。

(5)AMSI-HOOKS技术

(6)AMSI ByPass技术

(7)进程欺骗技术，包含:Process Hollowing、Process Herpaderping等

(8)模块Stomping技术，就是将ShellCode写入到远程进程中未使用的DLL的.text部分

(9)内存加密技术

(10)堆栈欺骗技术

(11)进程启动与暂停技术等

上面这些技术点，都是EDR开发人员必备的基础安全知识，如果EDR的开发人员连上面的这些基础安全知识都不懂，都还不清楚，那么做出来的EDR肯定是假“EDR”，开发出来的EDR基本也不具备什么安全能力，更不用说更深层的安全对抗技术了。

安全就是持续对抗的过程，不可能一劳永逸，这就是安全产品与其他产品最大的区别，安全产品是一个高对抗类型的产品，因为黑客总是会不断提升自己的安全攻击能力，不断突破安全产品的检测与防御，才能搞到钱，不然黑客都能转行了，安全产品也需要持续不断的提升安全检测能力才有用，任何一个安全产品，只要不更新，不运营，过不了多久基本都没啥用。