行为检测通过hook关键api，以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后，行为检测也被应用到了沙箱做为动态检测，对于避免沙箱检测的办法有如下几个： 虽然本文已经列举了很多免杀的方法，但其实还有很多我们没有列举到，比如编译恶意程序时需要开启堆栈保护，降低文件大小可以加大逆向工程分析的难度，内联汇编的语法推荐用visual ... https://yogiz863owd9.wikiannouncement.com/user