终端检测与响应EDR产品系统

公司采购了第三方EDR系统用来保护员工的办公安全，同时引入了软件更新慢、问题排查慢、数据合规风险、成本控制等问题，因此需要通过自研的方式解决这些问题

1、支持文件、进程、注册表、网络连接、dns请求等维度的数据采集
2、支持文件、进程、注册表操作的拦截处理
3、支持自保护（文件防删除、进程防杀、服务、驱动防停止/卸载）
4、支持安全事件告警、风险行为溯源

1、基于wdm框架开发内核驱动，实现文件、进程、注册表等操作的采集和拦截
2、基于etw开发网络连接、dns请求事件的采集
3、在内核驱动中开发进程防杀、驱动防停止/卸载功能
4、使用C++开发服务程序，用来管理驱动安装、卸载、启停、下发指令、将驱动采集的数据上报后台
5、使用nsis开发软件安装包，支持静默按照，实现软件防卸载等功能