EDR检测与攻击技术学习网站

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

终端安全一直是安全行业里面技术对抗最激烈的战场，黑客与安全厂商的技术对抗主要就是体现在终端安全对抗层面。

从早期的杀毒软件发展到现在各种新型的终端安全产品，例如当下比较流行的一些终端安全产品EDR、XDR等，不管产品名称怎么变，核心的东西一直未变，安全能力的基座也从来没有改变过，搞来搞去无非就是解决病毒木马与漏洞问题而己，只是不同时代的病毒木马表现形式不一样，解决方式不一样，同时不同时代流行的病毒家族、攻击手法、运营方式不同而己，现在病毒木马己经被统称为恶意软件的种类之一，恶意软件种类被分的很细了，除了病毒木马，现在还有很多其他类型的恶意软件，例如大家熟知的挖矿、勒索、下载器、加载器、远控、后门、APT特马等等。

笔者给大家推荐一个EDR检测与攻击技术学习网站，里面包含的一些技术点，也是最近几年安全厂商和黑客常常使用的一些技术防御和对抗点，网站链接：

https://blog.deeb.ch/posts/how-edr-works/

对EDR检测和攻击技术感兴趣，或者正在从事EDR开发的朋友们可以多多学习研究一下这个网站的一些技术点，这些都是最基础的一些EDR对抗技术点，随着黑客的不同深入研究会研究更多的EDR攻击技术，同时安全厂商在捕获到最新的攻击样本之后，通过分析也会研究出最新的防御手段，这是一个持续对抗，不断升级的过程。

EDR检测与攻击

EDR检测

EDR的检测，其实主要分为三大类：

1.文件检测

2.内存检测

3.行为检测

检测技术需要解决的技术点包含：文件静态特征、数字签名、模拟执行、用户和内核钩子、内核遥测、内存扫描、进程信息分析、调用堆栈分析、线程状态分析、机器性能影响等。

EDR攻击

有检测就有对抗，黑客为了逃避安全厂商的检测，也是从上面三种方式对抗免杀，一般分为：

1.静态特征免杀

2.内存特征免杀

3.动态行为免杀

EDR主要通过动态行为和事件来进行检测和响应的，所以针对EDR的攻击，主要使用内存特征免杀和动态行为免杀，需要解决的一些技术点包含：

(1)命令行欺骗技术

(2)PPID欺骗技术

(3)ETW补丁技术

(4)AMSI-AV补丁技术

(5)AMSI-HOOKS技术

(6)AMSI ByPass技术

(7)进程欺骗技术，包含:Process Hollowing、Process Herpaderping等

(8)模块Stomping技术，就是将ShellCode写入到远程进程中未使用的DLL的.text部分

(9)内存加密技术

(10)堆栈欺骗技术

(11)进程启动与暂停技术等

上面这些技术点，都是EDR开发人员必备的基础安全知识，如果EDR的开发人员连上面的这些基础安全知识都不懂，都还不清楚，那么做出来的EDR肯定是假“EDR”，开发出来的EDR基本也不具备什么安全能力，更不用说更深层的安全对抗技术了。

安全公司的安全产品是由开发人员开发的，但往往大部分的开发人员，事实上并不具备专业的安全知识，导致开发的产品安全能力上不去，或不能及时有效的解决最新的安全问题，导致客户不满意，任何一个安全产品都需要长期的安全运营，不断的更新里面安全特征，才能保证企业的安全产品能及时有效的解决遇到的最新的安全问题。

安全就是持续对抗的过程，不可能一劳永逸，这就是安全产品与其他产品最大的区别，安全产品是一个高对抗类型的产品，因为黑客总是会不断提升自己的安全攻击能力，不断突破安全产品的检测与防御，才能搞到钱，不然黑客都能转行了，安全产品也需要持续不断的提升安全检测能力才有用，任何一个安全产品，只要不更新，不运营，过不了多久基本都没啥用。

总结结尾

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，黑客组织一直在持续更新自己的攻击样本以及攻击技术，不断有企业被攻击，这些黑客组织从来没有停止过攻击活动，非常活跃，新的恶意软件层出不穷，旧的恶意软件又不断更新，需要时刻警惕，可能一不小心就被安装了某个恶意软件。

笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本，跟踪国内外报道的各种安全事件中涉及到的攻击样本等，通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等，可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等，同时还可以推判出他们大概准备做什么，发起哪些攻击活动，以及客户可能会受到什么危害等，通过研究全球的黑客组织以及攻击活动，做到知已知彼，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究