EPP/EDR主要检测功能
功能项特征值病毒库、ICO启发式引擎可疑程序自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件,调用系统组件svchost.exe来开启后门服务,隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务等条件即可判断为恶意。威胁情报STIX2.0 包含的:域名、IP、文件、证书、网络连接等反漏洞hips防止提权、窃取凭证、各应用...
