EDR 是“端点检测和响应”。它有一个部署在每台计算机上的代理，用于观察操作系统生成的事件以识别攻击。如果检测到某些内容，它将生成警报并将其发送到 SIEM 或 SOAR，在那里由人工分析师进行查看。“响应”是指在识别威胁后执行的操作，例如隔离主机，这不属于本文的一部分。EPP 是 Endpoint Protection Platform，它将尝试中断攻击，而不仅仅是检测攻击。

我们通过 NtAlpcXXX系列函数封装RPC调用，从而可以绕过上层的所有EDR针对RPC请求的过滤拦截

最后一句话颠覆认知：以上所说的笔记方法或者其他新的旧的笔记方法，在场景感面前都没用，哪怕你写写画画，哪怕你原文摘抄，哪怕一句话看一小时，都是对的，与效率无关，因为在这个过程中的某个瞬间，你的壮怀激烈你的黯然神伤你的超凡脱俗，他们无法感同身受，不过不重要，一天当中有那么几个瞬间偷着乐也就足够了。

查看文档后发现是需要设置环境变量（GRPC_GO_RETRY=on）

gRPC 中错误处理的最佳实践

另一种方案是基于API来构造，比如CreateFile API接受错误的输入时它是永远返回0的，但是我们可以通过HOOK API或者拓展符号执行工具为API实现输入正确性检测，符号执行工具已经被广泛应用于反混淆，传统代码混淆方法正面临非常大的挑战，但是目前关于反符号执行的混淆的研究还是存在很多的不足，这也是我们的研究动机。

You Can Run, but You Can't Hide - Finding the Footprints of Hidden Shellcode

到目前为止，直接系统调用在攻击工具中无处不在。手动系统调用对于逃避基于用户态的 EDR 仍然有效。在用户态，几乎没有人能应对这种强大的技术。此类系统调用可以从内核模式有效缓解，但出于多种原因，大多数 EDR 仍将仅从用户模式运行。这篇文章将介绍一种从用户模式检测手动系统调用的新方法。

Detecting malicious artifacts using an ETW consumer in kernel mode在内核模式下使用 ETW 使用者检测恶意工件

Perfect DLL Hijacking

After that, we again add a temporary println! statement that prints the value of contents after the file is read, so we can check that the program is working so far.

Now we’ll add functionality to read the file specified in the file_path argument. First, we need a sample file to test it with: we’ll use a file with a small amount of text over multiple lines with some repeated words. Listing 12-3 has an Emily Dickinson poem that will work well! Create a file called poem.txt at the root level of your project, and enter the poem “I’m Nobody! Who are you?”

会了 svelte 这个前端框架和 Rust 写服务端接口这些东西。虽然

最终我一直保持使用的是 Obsidian。Obsidian 支持本地存储数据的方式（也可选择付费远程同步）。我使用一个 Git 的插件自动同步到 Github。

知识管理是近些年出来的逼格称呼，通俗点说就是写笔记或者写作，讲究一点可以说成“打造第二大脑”，英文中可以诗意地称之为“Digital Garden”。看看，同样一个事怎么说出来格局完全不同了。

基于这个组织结构，我轻松搞定整理和下一个任务这两个：