Давно не было хороших материалов про обход EDR через прямой вызов функций ядра Windows. Хотя, в принципе, именно так их и обходят всегда =) Собственно, в статье описывается низкоуровневое колдунство, применяемое именитыми APT группировками, так что опыт старших товарищей принять к сведению будет не лишним. https://www.darkrelay.com/post/stealth-syscall-execution-bypass-edr-detection
Давно не было хороших материалов про обход EDR через прямой вызов функций ядра Windows
2 июня 20252 июн 2025
~1 мин