致盲EDR传感器 停止回调 清零整个回调数组 修补EDR进程通知回调 优化攻击行动 在Windows上加载驱动程序 将一切整合在一起 潜在的检测 如果主机上安装了EDR,就转向没有安装该设备的主机。 通过主机代理流量,以避免在系统上执行命令。 与典型的网络流量融合在一起。这些行为可能稍微可疑,但保持足够低调,需要人工分析进一步