深入探究 Windows 底层执行流劫持与 EDR 规避技术

在现代高级威胁防护（EDR）体系下，传统的安全规避手段正逐渐失效。防守方的监控重点已从单纯的静态文件特征提取，向内存状态分析、线程调用栈回溯以及内核级遥测转移。本文将从底层原理出发，详细剖析基于 DLL 搜索机制的执行流劫持，并深入探讨利用动态解析与系统调用（Syscalls）绕过用户层监控的现代加载器架构。