2025三掌柜赠书活动第三十八期 EDR逃逸的艺术:终端防御规避技术全解
目录
前言
为什么EDR会失效?
关于《EDR逃逸的艺术:终端防御规避技术全解》
编辑推荐
内容简介
作者简介
图书目录
《EDR逃逸的艺术:终端防御规避技术全解》全书速览
结束语
前言
2025 年,一场国内重要的红队演练现场,某企业的安全负责人面对在场的技术团队与观摩人员,语气中充满自信地介绍着企业的安全防护体系:“我们部署的 EDR(终端检测与响应)工具覆盖率已达到 100%,无论何种攻击行为,只要试图突破我们的网络防线,一定会被 EDR 精准识别并拦截!” 这番话不仅展现了企业对自身安全防护能力的高度认可,也让在场不少人对 EDR 这一主流终端安全技术的防护效果充满信任。但是令人意想不到的是,就在这番表态后仅过了数小时,红队发起的攻击流量便悄无声息地穿过了该企业层层搭建的安全防线,负责终端防护的 EDR 全程没有发出任何报警信号,监控全网安全态势的 SOC(安全运营中心)也未产生任何预警提示,直到真正的攻击威胁在企业内部系统落地,造成了实际影响,相关人员才后知后觉地意识到防护体系的失效。更值得警惕的是,这样的情况并非孤例,在近年来多场企业安全演练与实际网络攻防事件中,类似 EDR 防护失效、威胁突破防线的场景反复出现。这一现象也逐渐让行业内人士清醒地认识到:长期以来被视为终端安全 “守护神” 的 EDR,从来都不是 “无懈可击” 的绝对安全屏障,相反,随着网络攻击技术的不断迭代升级,EDR 在防护范围、检测能力上存在着明显的边界,在应对新型、隐蔽攻击手段时也有着难以避免的盲区,而正视这些边界与盲区,正是企业构建更完善安全防护体系的关键前提。那么本文就来详细唠唠。
为什么EDR会失效?
很多人会疑惑,为何看似能筑牢终端安全防线的 EDR 会出现失效情况?要解答这一问题,首先需要明确 EDR 的核心工作逻辑 —— 它主要通过检测系统行为实现安全防护,具体包括三个关键环节:一是通过 API 函数挂钩来监控系统中的关键调用,及时捕捉异常调用行为;二是依靠内核驱动拦截进程的创建、运行以及内存的读写、修改等操作,从底层阻断潜在威胁;三是将收集到的各类行为数据上报至云端,借助云端的分析能力识别威胁并触发告警。这样的防护机制听起来似乎固若金汤,但在实际攻防中,攻击者仍能找到多种方法实现 “隐身”:在函数层面,他们会主动寻找 EDR 未覆盖的、未被监控的调用路径,通过这些 “漏洞路径” 绕过 API 函数挂钩的监控;在更深层次的内核层,攻击者可利用合法驱动的漏洞,或采用特殊的程序加载方式,躲避内核驱动的拦截,让恶意行为在系统底层 “悄无声息” 地运行。
还有就是,不同厂商的 EDR 在设计时,出于性能、兼容性等因素考量,在监控范围的覆盖程度和功能取舍上存在明显差异,这种策略差异也会形成防护盲区,给攻击者可乘之机。可以看得出来EDR 并非能解决所有安全问题的 “万能钥匙”,它更像是守护终端安全的 “哨兵”,即便警惕性再高,也难免存在视野局限,而聪明的入侵者总能找到这些 “哨兵” 背后的死角,从而突破防护防线。
关于《EDR逃逸的艺术:终端防御规避技术全解》
接下来给大家推荐一本关于EDR逃逸技术的书籍,这是一本关于终端防御规避技巧的干货图书,一经上市就登上了当当“计算机与互联网”图书排行榜前列。本书从EDR原理剖析讲起到实战绕过,助红队与蓝队在日常攻防演练中轻松识破防御盲区!另外,关注本文博主,点赞+收藏本文,且在本文评论区评论“防御规避”,将选取三名幸运读者送出纸质版《EDR逃逸的艺术:终端防御规避技术全解》一本,截止时间:2025.10.30。入手《EDR逃逸的艺术:终端防御规避技术全解》传送门:https://item.jd.com/14531099.html 或者 https://product.dangdang.com/29946002.html ,个人觉得这本书非常的不错,是一本不可多得的好书,值得拥有去学习。
编辑推荐
适读人群 :本书适合对终端检测技术感兴趣,尤其是掌握基础渗透测试技术、了解Windows内部机制和基础知识的读者阅读。
作者实力:SpecterOps 前服务架构师执笔,传授实战经验。
内容多维:覆盖 EDR 架构到威胁情报 13 大核心模块,解析 Windows 平台工作原理。
实战赋能:海量代码示例 + 真实案例,手把手指导 EDR 攻防技术落地应用。
口碑认证:亚马逊 4.8 高分好评,专业读者认可的终端安全读物。
稀缺优势:契合高级网安技能需求,同类书籍少,竞争优势显著。
内容简介
端点检测与响应(endpoint detection and response,EDR)是一种网络安全技术,专注于监控、检测和应对终端设备上的可疑活动。通过持续收集和分析端点行为数据,帮助组织及时发现潜在威胁,并提供调查和响应工具,以防止攻击扩散和数据泄露。
本书聚焦 EDR 在 Windows 操作系统上的工作原理,围绕 EDR 攻防展开,深入探讨EDR 传感器或用于收集特定类型数据的组件。本书共 13 章,具体内容包括 EDR 架构、函数挂钩 DLL、进程与线程创建通知、对象通知、镜像加载与注册表通知、文件系统微筛选器驱动程序、网络过滤驱动程序、Windows 事件追踪、扫描器、反恶意软件扫描接口、早期启动反恶意软件驱动程序、微软 Windows 威胁情报,以及案例研究等。
本书适合对终端检测技术感兴趣,尤其是掌握基础渗透测试技术、了解 Windows 内部机制和基础知识的读者阅读。
作者简介
马特·汉德(Matt Hand)是资深的进攻型安全专家,专攻规避技术与漏洞研究,擅长攻防演练的设计和执行。他的安全领域职业生涯是从一家小型托管公司的安全运营中心开始的。此后,他主要担任红队工程师,主导针对全球多家顶级机构的攻击演练。
图书目录
目录
第 1 章 EDR 架构 1
11 EDR 的组件 1
111 代理 1
112 遥测数据 2
113 传感器 3
114 检测 3
12 规避 EDR 的挑战 4
13 识别恶意活动 5
131 考虑上下文 5
132 脆弱检测与鲁棒检测的应用 6
133 探索弹性检测规则 7
14 代理设计 9
141 基础设计 9
142 中级设计 10
143 高级设计 11
15 绕过类型 12
16 关联规避技术:一次攻击示例 13
17 总结 15
第 2 章 函数挂钩 DLL 16
21 函数挂钩的工作原理 16
211 使用 Microsoft Detours 实现挂钩 18
212 注入 DLL 21
22 检测函数挂钩 22
23 规避函数挂钩 24
231 直接系统调用 24
232 动态解析系统调用编号 27
233 重新映射 ntdlldll 28
24 总结 32
第 3 章 进程与线程创建通知 33
31 通知回调例程的工作原理 33
32 进程通知 34
321 注册进程回调例程 35
322 查看系统上注册的回调例程 36
323 收集进程创建信息 37
33 线程通知 39
331 注册线程回调例程 39
332 检测远程线程创建 40
34 规避进程和线程创建回调 42
341 命令行篡改 42
342 伪造父进程 ID 46
343 进程镜像修改 50
35 一个进程注入案例研究:fork&run 60
36 结论 62
第 4 章 对象通知 63
41 对象通知的工作原理 63
411 注册新的回调 63
412 监视新的和重复的进程句柄请求 65
42 检测 EDR 正在监视的对象 67
43 检测驱动程序触发后的行为 69
44 绕过认证攻击中的对象回调 71
441 执行句柄窃取 72
442 竞速回调例程 77
45 结论 82
第 5 章 镜像加载与注册表通知 83
51 镜像加载通知的工作原理 83
511 注册回调例程 83
512 查看系统上注册的回调例程 84
513 收集镜像加载信息 85
52 使用隧道工具规避镜像加载通知 88
53 使用镜像加载通知触发 KAPC 注入 90
531 理解 KAPC 注入 90
532 获取 DLL 加载函数指针 91
533 准备注入 92
534 创建 KAPC 结构体 93
535 APC 队列 94
54 防止 KAPC 注入 95
55 注册表通知的工作原理 96
551 注册注册表通知 98
552 缓解性能挑战 100
56 规避注册表回调 102
57 使用回调条目覆盖规避 EDR 驱动程序 106
58 结论 107
第 6 章 文件系统微筛选器驱动程序 108
61 传统过滤器和过滤器管理器 108
62 微筛选器架构 110
63 编写微筛选器 113
631 开始注册 113
632 定义前操作回调 115
633 定义后操作回调 118
634 定义可选回调 119
635 激活微筛选器 119
64 管理微筛选器 120
65 使用微筛选器检测对手的战术 121
651 文件检测 121
652 命名管道检测 122
66 规避微筛选器 124
661 卸载 124
662 预防 126
663 干扰 127
67 结论 127
第 7 章 网络过滤驱动程序 128
71 基于网络与终端的监控 128
72 传统网络驱动接口规范驱动程序 130
73 Windows 过滤平台 131
731 过滤引擎 132
732 过滤仲裁 132
733 回调驱动程序 133
74 使用网络过滤器检测对手的战术 133
741 打开过滤引擎会话 134
742 注册回调 134
743 将回调函数添加到过滤引擎 135
744 添加新过滤器对象 136
745 分配权重和子层 139
746 添加安全描述符 140
75 通过网络过滤器检测对手战术 141
751 基础网络数据 142
752 元数据 144
753 层数据 145
76 绕过网络过滤 146
77 小结 150
第 8 章 Windows 事件追踪 151
81 架构 151
811 提供者 151
812 控制器 157
813 消费者 159
82 创建消费者以识别恶意的NET 程序集 159
821 创建追踪会话 160
822 启用提供者 162
823 启动追踪会话 164
824 停止追踪会话 166
825 处理事件 167
826 测试消费者 175
83 规避基于 ETW 的检测 175
831 补丁 176
832 配置修改 176
833 追踪会话篡改 176
834 追踪会话干扰 177
84 绕过NET 消费者 177
85 结论 181
第 9 章 扫描器 182
91 防病毒扫描器简史 182
92 扫描模式 183
921 按需扫描 183
922 按访问扫描 184
93 规则集 185
94 案例研究:YARA 186
941 理解 YARA 规则 186
942 逆向工程规则 189
95 规避扫描器签名 190
96 结论 193
第 10 章 反恶意软件扫描接口 194
101 脚本恶意软件的挑战 194
102 AMSI 的工作原理 196
1021 探索 PowerShell 的 AMSI 实现 197
1022 理解 AMSI 的底层工作机制 200
1023 实现自定义 AMSI 提供者 205
103 规避 AMSI 209
1031 字符串混淆 209
1032 AMSI 修补 210
1033 无补丁 AMSI 绕过 211
104 结论 212
第 11 章 早期启动反恶意软件驱动程序 213
111 ELAM 驱动程序如何保护启动过程 214
112 开发 ELAM 驱动程序 215
1121 注册回调例程 215
1122 应用检测逻辑 218
113 驱动程序示例:阻止 Mimidrv 加载 219
114 加载 ELAM 驱动程序 220
1141 签署驱动程序 221
1142 设置加载顺序 223
115 规避 ELAM 驱动程序 225
116 令人遗憾的现实 226
117 结论 227
第 12 章 微软 Windows 威胁情报 228
121 对提供者进行逆向工程 228
1211 检查提供者和事件是否已启用 229
1212 确定触发的事件 231
122 确定事件的来源 234
1221 使用 Neo4j 发现传感器触发点 235
1222 获取可与 Neo4j 配合使用的数据集 236
1223 查看调用树 237
123 消费 EtwTi 事件 240
1231 理解受保护进程 241
1232 创建受保护的进程 243
1233 处理事件 248
124 规避 EtwTi 249
1241 并存 249
1242 追踪句柄覆盖 249
125 结论 253
第 13 章 案例研究:面向检测的攻击 254
131 作战规则 254
132 初始访问 255
1321 编写载荷 255
1322 传递载荷 257
1323 执行载荷 258
1324 建立命令与控制 259
1325 规避内存扫描 261
133 持久化 261
134 侦察 264
135 权限提升 266
1351 获取频繁用户列表 266
1352 劫持文件处理器 267
136 横向移动 274
1361 查找目标 274
1362 枚举共享 275
137 文件外传 278
138 结论 279
《EDR逃逸的艺术:终端防御规避技术全解》全书速览
结束语
通过本文的详细介绍,不难看出企业安全负责人对 100% 覆盖率的笃定,与攻击流量无声突破防线的现实之间的巨大落差,实则是对整个行业 “重工具覆盖、轻风险认知” 安全思维的有力矫正。当后续多场安全演练与真实事件中,“EDR 沉默、威胁落地” 的场景反复上演,尤其是面对 APT 攻击的潜伏渗透、文件 less 攻击的无迹操作时,EDR 的防护边界与检测盲区已不再是偶然的技术疏漏,而是企业构建安全体系时必须直面的核心挑战。当然,这并非要弱化 EDR 在终端防护中的基础价值,而是要打破 “单一工具包打天下” 的认知误区:企业需以此次演练为起点,将 EDR 纳入 “事前预警 - 事中拦截 - 事后溯源” 的全周期防护框架,通过打通 EDR 与 SOC 的数据流、联动威胁情报平台的实时更新、强化内部员工的安全操作规范,让有限的 EDR 能力在协同防御中发挥最大效能;对于网络安全行业来说,这更意味着技术迭代的新方向,既要聚焦 EDR 的智能进化,通过 AI 算法提升对新型攻击的识别精度,也要探索 “EDR+XDR”的融合模式,填补多场景下的防护空白。唯有企业与行业双向发力,才能真正将演练中的教训转化为抵御风险的能力,在数字时代的安全博弈中构建起更具韧性的防御屏障。