文章总结： EDRChoker是一种新型EDR压制工具，利用WindowsPolicy-basedQoS机制将EDR进程出站带宽限制至8bps，使TLS握手因超时断开而不触发WFP日志。相比传统阻断方法更具隐蔽性，支持持久化压制。文档详细解析了技术原理、PowerShell实现代码及红队应用场景，同时提供了QoS策略审计、事件日志监控等防御建议。 综合评分： 82 文章分类： 红队,内网渗透,免杀,安全工具,威胁情报

让全球EDR集体断网失明 EDRChoker流量压制技术让安全监控彻底失效

原创

星夜AI安全 星夜AI安全

星夜AI安全

2026年6月8日 12:10 吉林

在小说阅读器读本章

去阅读

🌈

EDRChoker通过Windows Policy-based QoS机制将EDR出站带宽限制到8bps使TLS握手超时断开比传统WFP阻断更隐蔽无日志记录

一、技术全貌：这是什么？

2026年6月，一款名为 EDRChoker 的新型EDR压制工具在GitHub上发布（TwoSevenOneT/EDRChoker），它利用Windows内置的 Policy-based QoS（服务质量策略） 机制，将目标EDR进程的出站带宽限制到极端低速率（8 bits per second），使EDR agent与控制服务器的TLS握手因超时而彻底断开——而这一切完全不触发任何WFP日志。

这不是一款普通的EDR压制工具。它的创新在于利用了一个长期被忽视的Windows网络机制，绕过了几乎所有主流EDR的检测体系。

二、为什么这个技术如此重要

传统EDR压制方法存在三个根本问题：

| 方法 | 致命缺陷 | | — | — | | Windows Defender Firewall封禁进程 | 留下明确的规则痕迹，容易被SIEM检测 | | WFP规则丢弃数据包（EDRSilencer等） | 产生packet-block/packet-drop日志，可溯源 | | 直接终止EDR进程 | 触发进程终止告警，AV/EDR立即响应 |

EDRChoker的核心创新是——它不阻断任何数据包，只是让数据包”走得很慢”。TLS握手需要3-6KB甚至更多的数据，当带宽被限制到8bps时，完整握手需要数小时甚至数天，应用程序的超时机制会判定网络不可达并主动断开连接。

关键优势： 全程不产生WFP层日志，安全产品完全”看不见”攻击行为。

三、技术原理解析

原理一：TLS握手的数据量陷阱

现代TLS握手需要大量往返数据：

Client Hello:           150-500 bytes
Server Hello + Key Ex:  100-500 bytes
Certificate Chain:       3,000-8,000+ bytes  ← 最大头
Finished + Verify:       ~100 bytes
─────────────────────────────────────────
完整握手总计:             3-10 KB

典型现代应用程序的超时设置为2-5秒。在8bps速率下，传输3KB数据需要 约50分钟。

原理二：QoS策略的工作层级

EDRChoker创建的QoS策略运行在 pacer.sys（包调度器驱动程序），位于Windows网络栈的NDIS层（Layer 5），比WFP层（Layer 3）更接近物理网卡：

应用层 → Transport (tcpip.sys) → WFP层 → NDIS层 → 网卡
                              ↑
                         pacer.sys 位于此处

这意味着QoS策略的优先级高于WFP规则——WFP只能看到被QoS”整形”后的数据流。

原理三：持久化与隐蔽命名

创建的QoS策略使用进程名+随机GUID命名（例如msiexec_{A1B2C3D4-E5F6-7890-ABCD-EF1234567890}），看起来像正常的Windows系统策略，且重启后依然生效。

四、关键代码示例

PowerShell创建QoS策略

# 标准QoS策略创建（EDRChoker基于此修改）
New-NetQosPolicy -Name "FTP" -AppPathNameMatchCondition "ftp.exe" -ThrottleRateActionBitsPerSecond 1MB -PolicyStore ActiveStore

# EDRChoker的实际策略：限制到8bps
New-NetQosPolicy -Name "{EDR_PROCESS_NAME}_{RANDOM_GUID}" -AppPathNameMatchCondition "{edr_exe.exe}" -ThrottleRateActionBitsPerSecond 8 -PolicyStore ActiveStore

EDRChoker使用方法

# 安装模式：传入包含EDR进程名的文本文件
EDRChoker.exe&nbsp;<edr_processes.txt>

#&nbsp;移除模式：清除所有已安装的策略
EDRChoker.exe

#&nbsp;示例edr_processes.txt内容：
SentinelService.exe
edrSvc.exe
MsMpEng.exe
saprosec.exe

验证策略生效

# 查看当前系统所有QoS策略
Get-NetQosPolicy -PolicyStore ActiveStore

# 查看特定策略的带宽限制
Get-NetQosPolicy -Name "SentinelService.exe_*" | Select-Object ThrottleRateActionBitsPerSecond

# 查看端口控制（QoS也可限制特定端口）
Get-NetQosPolicy | Format-List *

五、实战应用场景

场景一：红队行动中的EDR压制

1. 获取目标网络初始访问权限
2. 上传并执行EDRChoker，传入目标EDR进程名列表
3. EDR与控制服务器的通信逐渐超时断开
4. 等待EDR”失明”后，执行敏感操作（如Mimikatz、横向移动）
5. 行动完成后，使用EDRChoker移除模式清理痕迹

场景二：绕过AV/EDR动态检测

某些EDR在检测到可疑API调用时会向服务器上报事件。EDRChoker压制后，即使EDR检测到异常也无法上报——控制通道已被物理切断。

场景三：持久化压制

由于QoS策略在重启后依然保留，EDRChoker可以实现重启后依然压制的效果，适合长期潜伏场景。

六、防御对抗建议

1. 定期审计QoS策略

# PowerShell审计脚本：检查异常低带宽策略
Get-NetQosPolicy -PolicyStore ActiveStore | Where-Object {
    $_.ThrottleRateActionBitsPerSecond -lt 1000
} | Select-Object Name, AppPathNameMatchCondition, ThrottleRateActionBitsPerSecond

2. 启用Windows事件日志监控

监控事件ID 4007/4008（QoS策略创建/修改）：

Event Viewer → Application and Services Logs → Microsoft → Windows → Network QoS

3. 监控EDR心跳异常

当EDR agent的TLS握手延迟超过正常阈值时，触发告警。这需要EDR厂商支持或自定义SIEM规则。

4. 网络层补充检测

在网络边界部署流量分析设备，监控出站流量异常低速率——8bps是极不正常的流量模式。

5. EDR厂商应关注的检测信号

• 新增的QoS策略（非标准应用程序创建）
• 同一进程名+随机GUID模式的策略大量出现
• EDR agent与服务器的TLS握手持续超时

七、技术延伸阅读

工具与资源：

• EDRChoker GitHub：https://github.com/TwoSevenOneT/EDRChoker[1]
• 详细分析文章：https://www.zerosalarium.com/2026/06/edrchoker-choking-telemetry-stream-block-edr.html[2]
• MITRE ATT&CK T1562.002：Impair Defenses – Disable or Modify System Firewall

红队视角： EDRChoker是近年来最具创新性的EDR压制工具之一，它不依赖任何内核漏洞或驱动程序，利用Windows原生机制实现了几乎”零痕迹”的压制效果。蓝队应尽快将QoS策略审计纳入日常安全检查流程。

蓝队视角： 不要只盯着WFP层日志。一个设计精良的攻击工具可能根本不会触发任何WFP事件，但会在网络栈的更底层”悄悄”做手脚。

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获”最佳攻击手””突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护，无感知运行，突破多引擎联合检测）
• XXByPassBehinder v1.1 冰蝎免杀生成器（定制化冰蝎免杀工具，绕过主流终端防护与EDR动态检测，支持自定义载荷）
• 哥斯拉二开免杀定制版（二开优化，深度免杀，突破终端防护与EDR检测，适配多场景植入）
• NeoCS4.9终极版（高级免杀加载工具，强化载荷注入与进程劫持，适配多系统版本，无兼容问题）
• WinDump_免杀版（浏览器凭证窃取工具，支持Chrome/Edge/Firefox等主流浏览器，一键提取敏感数据，免杀过防护）_
• _DumpBrowser_V1_免杀版（浏览器凭证窃取工具，专攻浏览器密码、Cookie、历史记录提取，免杀性能拉满）
• fscan二开版（二开优化内网扫描工具，增强指纹精度、弱口令爆破与结果标准化输出，适配复杂内网）
• RingQ加载器二开版（二开优化免杀加载器，支持Shellcode内存执行，绕过各类终端防护与EDR检测）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护，适配不同Web场景）
• 免杀360专属加载器（支持Shellcode内存执行，针对性绕过360全系防护检测，无感知运行）
• 一键Kill 火绒 defender 工具 HDKiller（包含源码）
• win11 一键kill 360工具 InjectKill（包含源码）
• win11 一键kill defender工具win11_df-killer（包含源码）
• 免杀火绒6.0内存防护加载器BypassMemLoader

后续将不断更新到内部圈子中 欢迎加入圈子

引用链接

[1]https://github.com/TwoSevenOneT/EDRChoker

[2]https://www.zerosalarium.com/2026/06/edrchoker-choking-telemetry-stream-block-edr.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全 星夜AI安全《让全球EDR集体断网失明 EDRChoker流量压制技术让安全监控彻底失效》