行为检测通过hook关键api，以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后，行为检测也被应用到了沙箱做为动态检测，对于避免沙箱检测的办法有如下几个： 云山雾隐安全实验室常用的手段是加密shellcode，可用的加密方法有很多，如：直接使用aes、des、xor、base64、hex等方法进行加密或自写加密，仅需把shellcode特征去除即可。我们比... https://hamidz975wfo4.is-blog.com/profile