EDR

端点检测与响应（EDR）智能体是一组软件组件，用于创建、摄取、处理有关系统活动的数据，并将这些数据传输到一个中心节点，其职责是判断行为者的意图（比如其行为是恶意的还是良性的）。端点检测与响应（EDR）几乎涉及现代安全机构的所有方面。安全运营中心（SOC）的分析师会收到来自其 EDR 的警报，而 EDR 使用的是由检测工程师创建的检测策略。其他工程师则负责维护和部署这些智能体与服务器。

EDR作用

1. 收集遥测数据,它控制传感器组件并使用其数据，进行一些基本分析以确定特定活动或一系列事件是否与攻击者行为相符，并将遥测数据转发到主服务器，主服务器会进一步分析来自部署在某一环境中的所有智能体的事件。

EDR组成

静态扫描程序

1. 一种应用程序，或者是EDR自身的一个组件，它对图像（如可移植可执行文件（PE）或任意范围的虚拟内存）进行静态分析，以确定内容是否恶意。静态扫描程序通常构成防病毒服务的支柱。

hooking的动态链接库

1. 是一种负责拦截对特定应用程序编程接口（API）函数调用的 DLL.

内核驱动程序

1. 内核驱动程序：一种内核模式驱动程序，负责将hooking的动态链接库（DLL）注入目标进程，并收集内核特定的遥测数据。
2. 简易的EDR

网络过滤驱动程序

1. 网络过滤驱动程序 这类驱动程序执行网络流量分析，以识别恶意活动的迹象，例如信标信号。这些内容将在第7章中介绍。

文件过滤驱动程序

文件系统过滤驱动程序 一种特殊类型的驱动程序，可以监控主机文件系统上的操作。第6章将对其进行详细讨论。

事件跟踪ETW

1. 事件跟踪（ETW）使用者 智能体的组件，这些组件可以订阅由主机操作系统或第三方应用程序创建的事件。第8章将介绍事件跟踪（ETW）。
2. 中等复杂的EDR

函数钩子（Function Hook）是一种编程技术，简单来说，就是在函数调用的过程中 “插一脚”，让程序执行流暂时转向我们自定义的代码，等自定义代码执行完后，再回到原来的函数继续执行.