夏普街区 通过阻止入口点执行来绕过EDR的活动投影DLL的方法。 特征 阻止执行EDR DLL入口点，从而防止放置EDR挂钩。 扫描程序在运行时寻找Amsi.dll代码补丁的扫描程序无法检测到无补丁AMSI绕过。 可以由磁盘，HTTP或命名管道（Cobalt Strike）加载的植入PE替换的主机进程 植入的过程被隐藏起来，以帮助逃避扫描仪寻找空化的过程。 使用隐身EDR检测方法在创建过程后对命令行参数进行欺骗和植入。 无补丁ETW旁路 SharpBlock by _EthicalChaos_