文章总结： 本文综述EDR绕过技术，首先阐述EDR通过用户态APIHook、内核回调与ETW进行威胁检测的原理，重点梳理Unhooking恢复干净ntdll.dll、DirectSyscall直连内核、禁用ETW遥测、高级进程注入变体及内核回调移除五大主流绕过方法，并从防御视角提出校验ntdll完整性、监控Syscall异常等应对策略 综合评分： 86 文章分类： 免杀,终端安全,红队,内网渗透,应用安全

[前沿技术] EDR 绕过技术综述

原创

Pik安全实验室 Pik安全实验室

Pik安全实验室

2026年5月21日 15:21 广东

在小说阅读器读本章

去阅读

0x00 介绍

EDR（Endpoint Detection and Response）是现代企业安全的核心防线。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint 等产品通过内核驱动持续监控进程行为。攻击者需要在免杀基础上进一步绕过 EDR 的行为检测，本文梳理当前主流的 EDR 绕过技术。

0x01 EDR 检测原理

EDR 主要通过三种机制检测威胁：用户态 API Hook（ntdll.dll）、内核回调（PsSetCreateProcessNotifyRoutine）、ETW（Event Tracing for Windows）。

0x02 绕过技术

Unhooking — 恢复干净的 ntdll.dll

EDR 在 ntdll.dll 函数开头插入 JMP 指令（Hook）。从磁盘读取一份干净的 ntdll.dll 覆盖内存中的 Hook 版本。

// 经典 Unhooking 技术 // 1. 读取磁盘上的 ntdll.dll HANDLE hFile = CreateFileW(L”C:\Windows\System32\ntdll.dll”, …); // 2. 映射到内存 HANDLE hSection; NtCreateSection(&hSection, SECTION_MAP_READ, …); // 3. 找到进程中的 ntdll .text 段 // 4. 用磁盘版本覆写 Hook 区域

系统调用（Syscall）直连

绕过用户态 Hook，直接从应用层调用内核系统调用。Hell’s Gate 和 Halo’s Gate 技术可动态提取 syscall 号。

// Direct Syscall 示例 // 从 ntdll.dll 解析 syscall stub // 提取 syscall 号并自己构造 syscall asm(“mov r10, rcx; mov eax,; syscall; ret”);

// 应对 syscall 号变化的 HalosGate // 向下搜索相邻函数的 syscall 号

ETW 禁用

ETW 是 EDR 获取遥测数据的主要渠道。通过修补 EtwEventWrite 函数或篡改 ETW 提供者可关闭日志。

进程注入变体

Early Bird APC Injection、Process Doppelgänging、Process Herpaderping 等高级注入技术绕过 EDR 的进程创建回调。

回调移除

在驱动层面移除 EDR 注册的内核回调函数。

0x03 防御侧视角

检测 unhooking 行为（ntdll 完整性校验）、监控 syscall 调用频率异常、ETW 事件丢失告警、VBS enclave 隔离。

本文仅作安全研究与学习用途，用于非法行为后果自行承担。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Pik安全实验室 Pik安全实验室 Pik安全实验室《[前沿技术] EDR 绕过技术综述》