行为检测通过hook关键api，以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后，行为检测也被应用到了沙箱做为动态检测，对于避免沙箱检测的办法有如下几个： 最简单的反调试的措施就是检测父进程。一般来说，我们手动点击执行的程序的父进程都是investigate。如果一个程序的父进程不是explor，那么我们就可以认为他是由沙箱启动的。那么我... https://google-play77888.ka-blogs.com/75117318/the-definitive-guide-to-免杀