WFP é um conjunto de APIs e serviços do Windows que os desenvolvedores podem usar para interagir com o processamento de pacotes de rede profundamente na pilha de rede do Windows. Esse poderoso recurso é frequentemente usado por firewalls e outros aplicativos de segurança para monitorar, bloquear ou modificar pacotes de rede com base em endereços IP, portas, processos de origem e muito mais.
O EDRSilencer cria filtros WFP direcionados a processos relacionados a ferramentas EDR populares. Os agentes suportados por padrão incluem Microsoft Defender for Endpoint e Microsoft Defender Antivirus, Elastic EDR, Trellix EDR, Qualys EDR, SentinelOne, Cylance, Cybereason, Carbon Black EDR, Carbon Black Cloud, Tanium, Palo Alto Networks Traps/Cortex XDR, FortiEDR, Cisco Secure Endpoint (anteriormente Cisco AMP), ESET Inspect, Harfanglab EDR e TrendMicro Apex One.
Caso o agente EDR instalado no sistema não conste desta lista e não seja reconhecido por padrão, o usuário poderá passar o caminho completo do processo cuja comunicação está bloqueada. Portanto, em teoria, ele pode bloquear o tráfego de rede de qualquer sistema, não apenas de agentes EDR.
