Инструмент для уничтожения EDR использует подписанный драйвер ядра из программного обеспечения для криминалистики.

Хакеры злоупотребляют законным, но давно отозванным драйвером ядра EnCase в программе-убийце EDR, которая может обнаруживать 59 инструментов безопасности в попытке деактивировать их.