关于现代EDR架构、检测机制、规避技术及逆向工程方法的技术参考。内容涵盖内核回调API、文件系统迷你过滤器、ETW提供程序、四种检测引擎模型、系统调用门(FreshyCalls、RecycledGate、SysWhispers4、Acheron、Sysplant)、睡眠混淆(Ekko、FOLIAGE、DreamWalkers)、调用栈伪造(SilentMoonwalk、VulcanRaven)、ETW-TI硬件断点绕过、通过VEH实现无补丁AMSI绕过、针对漏洞驱动程序黑名单的BYOVD,以及八阶段EDR研究方法。
