El continuo desarrollo del conocido como “juego del gato y el ratón” que lleva a desarrolladores de malware y de sistemas de EDR a competir entre ellos para intentar anular al otro ha permitido a los EDR mejorar enormemente sus capacidades a la hora de detectar la inyección de código en un proceso remoto. Parte de este éxito se debe a que la gran mayoría de técnicas de inyección de código en equipos con sistema operativo Windows siguen una misma secuencia de acciones conocida: alojamiento de memoria, escritura de payload y generación de un nuevo hilo para ejecutar el código malicioso, todo ello involucrando a un proceso origen y a un proceso destino.
A pesar de que existen numerosas maneras de llevar a cabo dichas acciones combinando una gran cantidad de funciones del API de Windows al final la lógica siempre es la misma, por lo que para poder evadir a los EDRs empiezan a surgir alternativas que intentan romper con esta tendencia.