O autor descreve uma técnica de evasão de EDR baseada na interrupção da comunicação do agente com seu backend. Como as soluções modernas de EDR dependem do streaming contínuo de telemetria para a nuvem, perder a conectividade reduz significativamente sua eficácia. Em vez de métodos tradicionais, a abordagem foca em limitar a largura de banda da rede do agente a um nível mínimo.

A técnica é implementada usando QoS baseado em Política no Windows: limites estritos de largura de banda (por exemplo, 1 Kbit/s) são aplicados aos processos de EDR, causando timeouts constantes e perda de comunicação com o servidor. Isso opera abaixo do WFP (via o driver `pacer.sys`) e não gera eventos típicos de bloqueio de tráfego, tornando a detecção mais difícil.

📎 Artigo: https://www.zerosalarium.com/2026/06/edrchoker-choking-telemetry-stream-block-edr.html

⚙️ Ferramenta: https://github.com/TwoSevenOneT/EDRChoker

Bypass de EDR via Limitação de Telemetria (EDRChoker)