5.2.2 文件系统监控

文档摘要

5.2.2 文件系统监控文件系统监控，是端点检测中那根最敏感的神经末梢——它不声不响，却在每一个调用里屏息，在每一次注册时绷紧，在目录下悄然生成的临时套接字文件上投下第一道阴影。它不是日志审计的回放录像，也不是进程树的静态快照；它是对数据主权边界的实时叩问：谁在写？写在哪？为什么此刻写？写完是否立刻删除？这些看似琐碎的“元动作”，恰恰构成了APT横向移动的隐秘脚印、勒索软件加密前的试探性扫描、以及无文件攻击绕过签名检测的底层跳板。我们常把EDR比作端点的免疫系统，那么文件系统监控就是其中的树突状细胞——它不直接杀伤，但必须第一时间识别出“非己”信号，并将抗原呈递给T细胞（即检测引擎）。而这份识别能力，绝非简单地监听或目录就能达成。