stealth process injection

  1. Сергей Попов

    Статья EntryPoint Hijacking: process injection техники нового поколения для обхода EDR

    На последнем внутреннем пентесте финтех-проекта я собрал кастомный загрузчик с indirect syscalls - NtCreateThreadEx через ручной маппинг SSN всё равно улетел в алерт CrowdStrike Falcon за 800 миллисекунд. Проблема не в обёртке над syscall. Проблема в подходе: любая инъекция процессов, которая...