端点检测与响应是一种网络安全技术，专注于监控、检测和应对终端设备上的可疑活动。通过持续收集和分析端点行为数据，帮助组织及时发现潜在威胁，并提供调查和响应工具，以防止攻击扩散和数据泄露。 本书聚焦EDR在Windows操作系统上的工作原理，围绕EDR攻防展开，深入探讨EDR传感器或用于收集特定类型数据的组件。本书共13章，具体内容包括EDR架构、函数挂钩DLL、进程与线程创建通知、对象通知、镜像加载与注册表通知、文件系统微筛选器驱动程序、网络过滤驱动程序、Windows事件追踪、扫描器、反恶意软件扫描接口、早期启动反恶意软件驱动程序、微软Windows威胁情报，以及案例研究等。 本书适合对终端检测技术感兴趣，尤其是掌握基础渗透测试技术、了解Windows内部机制和基础知识的读者阅读。

第1章 EDR架构
1.1 EDR的组件
1.1.1 代理
1.1.2 遥测数据
1.1.3 传感器
1.1.4 检测
1.2 规避EDR的挑战
1.3 识别恶意活动
1.3.1 考虑上下文
1.3.2 脆弱检测与鲁棒检测的应用
1.3.3 探索弹性检测规则
1.4 代理设计
1.4.1 基础设计
1.4.2 中级设计
1.4.3 高级设计
1.5 绕过类型
1.6 关联规避技术：一次攻击示例
1.7 总结
第2章 函数挂钩DLL
2.1 函数挂钩的工作原理
2.1.1 使用Microsoft Detours实现挂钩
2.1.2 注入DLL
2.2 检测函数挂钩
2.3 规避函数挂钩
2.3.1 直接系统调用
2.3.2 动态解析系统调用编号
2.3.3 重新映射ntdll.dll
2.4 总结
第3章 进程与线程创建通知
3.1 通知回调例程的工作原理
3.2 进程通知
3.2.1 注册进程回调例程
3.2.2 查看系统上注册的回调例程
3.2.3 收集进程创建信息
3.3 线程通知
3.3.1 注册线程回调例程
3.3.2 检测远程线程创建
3.4 规避进程和线程创建回调
3.4.1 命令行篡改
3.4.2 伪造父进程ID
3.4.3 进程镜像修改
3.5 一个进程注入案例研究：fork&run
3.6 结论
第4章 对象通知
4.1 对象通知的工作原理
4.1.1 注册新的回调
……
第5章 镜像加载与注册表通知
第6章 文件系统微筛选器驱动程序
第7章 网络过滤驱动程序
第8章 Windows事件追踪
第9章 扫描器
第10章 反恶意软件扫描接口
第11章 早期启动反恶意软件驱动程序
第12章 微软Windows威胁情报
第13章 案例研究:面向检测的攻击