对于大部分远控，包括商业/开源/自研，都提供交互式cmdshell命令执行功能，并且红队在内网拿到驻点的后渗透过程中，也比较热衷于使用这个功能，如果监控这类场景，将极大提升入侵检出率。