一种新的规避技术被称为 "EDR-Freeze"，它改变了攻击者中和终端安全的方式。与传统方法不同，传统方法试图崩溃或终止安全软件（这通常会触发警报），EDR-Freeze 完全暂停安全进程，使其处于 "昏迷" 状态，但技术上仍然是活着的。这种攻击特别危险，因为它完全在用户模式下运行，这意味着攻击者不需要引入一个易受攻击的驱动程序（BYOVD）或利用内核级漏洞。相反，它滥用合法的 Windows 错误报告工具来冻结终端检测和响应（EDR）代理，创造一个恶意活动可以在未被检测的情况下发生的盲点。