EDR和杀软的区别
传统杀软的工作方式
传统杀软主要是识别已知的漏洞,然后可以识别一些简单的行为,例如监控一下文件的修改,注册表的修改等,对于未知的攻击和深度apt攻击很难拦截。
它使用的技术主要侧重于特征识别,功能上更偏向于识别已经出现过,有特征的攻击。
EDR
EDR在传统杀软的基础上,重点增加了行为识别的相关能力,使得其可以识别之前未出现过,没有特征记录的攻击行为。对程序的行为记录也更加的详细,提高安全人员对恶意软件进行分析和识别的效率和准确度。
edr使用的技术在传统杀软的基础上,强化了行为识别。可以实现例如识别程序的函数调用链,堆栈,函数调用方式等。edr一般会借助自己在r0内核层的驱动程序来注入dll到用户层程序中来实现对程序的监控。