行为检测通过hook关键api，以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后，行为检测也被应用到了沙箱做为动态检测，对于避免沙箱检测的办法有如下几个： avoidz 是一个比较使用比较简单的小工具，利用 msf 生成 powershell �?shellocde，然后利�?c#、python、go、ruby 等语言�?shellcode 进行编译生成 exe 而达到免杀的效果，套路比较... https://donaldu741lrz7.blazingblog.com/profile