攻防技术总是在对抗中不断升级，任何单一的突破都可以形成一种稳定的绕开方式。任何形式的反弹shell检测在理论上都不完美，尤其是第三类反弹shell。云安中心采用深度探测的思想，采用多维探测方案交叉埋设点，覆盖从弹跳外壳执行到后续渗透利用的各个阶段。除以上所述更接近反弹外壳的FD检测服务外，还包括基于情形目的的异常命令情形序列检测服务、异常外壳启动检测和常规命令、网络特征覆盖方案等，云安全中心还采用了以下技术方案，最大限度地保证了检测效果。

反脚本的shell类型，阿里云云安全中心也给出了目标解决方法。

为落盘脚本文件检测文件落盘。包含但不限于bash,python,perl,vbs,powershell,bat,jar等等。对混杂类样本，采用每种语言的特征模式，实现动态解混杂后检测。最近几年，java应用越来越多，一些使用jar包的case也出现在云上，用于反弹shell。Alliance安全中心对诸如jar这样的打包类文件实现静态反编译，并结合动态运行实现多维判断。无文件攻击越来越受欢迎，攻防对抗水平不断提高，阿里云安全中心对于无文件类反弹SHELL有相应的检测方案。阿里云安全中心对于二进制弹跳shell开发的方法，如c/vb.net、dogo、meterpreterlorelcode等，实现了特殊的识别和处理，综合了输入函数特征、代码特征、二进制在沙箱中的动态情形特征等多个维度实现检测。云安中心覆盖了通用外壳通信的特点，辅助提升检测效果。云安中心覆盖常用的绕过方法，例如替换系统外壳、命令编码等，以辅助提升检测效果。

阿里云安全中心实践纵深检测的思想，采用多维交叉检测弹跳外壳，通过过程特征覆盖、文件描述符分析、命令情形序列、异常外壳启动、二进制沙箱、脚本沙箱、流量特征覆盖、对抗情形检测等八种技术，最大限度地保证了不同阶段的埋点检测效果。