这类绕过传统终端安全的新攻击手法，如何能快速高效地捕获、处理，并保住蓝队重要的分数呢？下图是EDR在攻击后的1分钟内捕获的详细攻击链图。

无文件攻击的最大特点就是恶意代码直接在内存中运行，有人可能会想：内存扫描是否就可检出恶意代码？

• 内存扫描会占用较多系统资源：相比文件扫描面对的KB或MB级文件，内存扫描通常面向的是GB级内存数据，需占用较多系统资源，导致终端响应缓慢或卡顿；

• 很难确定内存扫描时机：终端运行过程中，内存数据是时刻变化的。而内存特征本身可能在特定时机才会稳定出现，太早或太晚扫描都有可能误报；并且，也有恶意程序通过加密内存数据来规避扫描，只在特定时间解密数据以实施攻击；

从大量实践经验来看，利用EDR中的行为检测技术不仅可以有效检测无文件攻击，同时用来触发、配合内存扫描，可对无文件攻击等新型威胁实现“多维度打击”。

EDR可以检测并关联一次点击背后的一连串（风险）行为：

• 首先，EDR检测到Word简历启动后，Office进程利用宏启动了一个名叫Rundll32的系统可信程序，这是绝好的伪装；
• 其次，在Rundll32 启动过程中，Office进程对Rundll32进行了远程线程注入，把一段恶意的shellcode代码强行“塞入”了原本无害的进程中，EDR检测到这个异常的注入动作；

• 此外，Office进程还通过宏写入了一个非常可疑的计划任务，使得CS马保持开机启动，这里调用powershell创建计划任务的行为也会被EDR精准检测。

然而你以为EDR就只是这样吗？高阶的EDR行为检测，并不止步于此。

高阶的EDR不会放弃任何一种技术，其也可以与内存扫描技术组合使用：

通过大量真实案例来看，面对那些将恶意代码注入内存直接运行的攻击方式，EDR行为检测可以对注入后的攻击行为进行捕获并精准检测，也能在检测到风险行为时启动内存扫描，让内存扫描“指哪打哪”。

但对于大多数企业来说，检测并不是最终目的，更重要的是响应和处置。发现威胁后要如何通过EDR进行溯源和快速处置？敬请关注下一篇文章。同时关注微步在线EDR方面的动态，了解更多EDR技术的高级玩法。