(EDR) — Evading Detection to Ring 0

Многие инструменты стали «золотым стандартом» для сбора событий в ОС Windows. К таким инструментам можно отнести, например, EventLog или Sysmon. Но многие ли задумываются о том, как работают различные инструменты по сбору событий?

В рамках доклада мы подробно рассмотрели различные способы получения телеметрии с ОС Windows, показали некоторые проблемы известных инструментов и варианты их обхода, а также рассказали, как обнаружить некоторые из описанных техник.