Рубрика: Evasion

Категория: Red Team / Evasion Уровень: Advanced Автор: Aka Tor Дата: Апрель 2026 Введение AMSI (Antimalware Scan Interface) и ETW (Event Tracing for Windows) — два основных механизма, через которые EDR и Windows Defender контролируют выполнение кода в runtime. AMSI сканирует содержимое скриптов (PowerShell, VBScript, JScript, .NET assemblies) перед выполнением. ETW предоставляет телеметрию о событиях:…

Read More “Обход AMSI и ETW в 2026 — патчинг в памяти, unhooking, custom CLR hosting” »

Категория: Red Team / Blue Team / Purple Team Уровень: Advanced → Expert Автор: Aka Tor Введение Fileless malware — код который работает полностью в памяти, без файлов на диске. .NET Assembly Loading — основная техника: загружаем CLR runtime из native C кода, затем Assembly.Load(byte[]) загружает .NET assembly прямо из массива байт в памяти. Используется:…

Read More “Fileless Malware: .NET Assembly Loading из памяти” »