EDR

在网络安全领域，EDR 的全称是 Endpoint Detection and Response，即“终端检测与响应”。EDR 不仅仅是看某个文件是否有毒，它关注的是终端（服务器、笔记本、工作站）上发生的所有行为。

• 持续监测（Detection）：它会记录进程启动、内存加载、注册表修改、网络连接等行为。即便是一个看似正常的软件，如果它突然开始扫描内网，EDR 也能识别出这种异常。
• 行为分析（Analytics）：利用 AI 和威胁情报，识别复杂的攻击手段（如无文件攻击、勒索软件探测等）。
• 实时响应（Response）：一旦发现攻击，EDR 可以自动执行动作，比如：
  • 隔离主机：断开该主机的网络，防止病毒扩散。
  • 结束进程：直接杀掉恶意程序的运行。
  • 文件回滚：撤销勒索软件对文件的加密动作。
• 调查与溯源（Investigation）：它能像“黑匣子”一样重放攻击过程，告诉管理员攻击者是从哪进来的、动了哪些文件。

Minifilter 与 EDR 的关系

Minifilter 是 Windows 文件系统过滤驱动（File System Minifilter Driver）模型中的一种驱动形式，运行在内核态，可以挂在文件系统 I/O 路径上，观察甚至干预文件访问行为。

它本身不是 EDR，也不只属于 EDR。杀毒软件、DLP、数据加密、审计产品等，也都可能使用 Minifilter。但在很多终端安全产品里，Minifilter 确实是常见的底层能力之一，因此经常会被归到 EDR Agent 的实现组件里讨论。

EDR 为什么会用 Minifilter

• 监控文件读写：观察文件何时被创建、打开、修改、删除。
• 识别恶意落地行为：例如恶意程序写入可执行文件、释放 DLL、批量改写用户文档。
• 辅助勒索软件检测：当大量文件被快速改写、重命名、加密时，Minifilter 能帮助 EDR 及时发现异常。
• 配合拦截动作：部分产品会在风险较高时阻断某些文件操作。

需要注意的点

• Minifilter 解决的是“文件系统层可见性和控制”问题，不等于 EDR 的全部能力。
• 一个完整的 EDR 通常还会结合进程监控、注册表监控、网络遥测、内存检测、行为分析、云端关联和响应处置。
• 因为 Minifilter 运行在内核态，开发和使用都需要格外关注兼容性、稳定性和性能影响。

可以把它理解为：Minifilter 是很多 EDR 产品用来观察和控制文件行为的一只“底层手”，但 EDR 本身是一整套终端检测、分析和响应体系。