Сергей Попов сказал(а):

По Elastic согласен: ntdll-хуков там нет, телеметрия идёт из kernel ETW (провайдер Microsoft-Windows-Threat-Intelligence) плюс PsSetCreate/ObRegister callbacks. SysWhispers в голом виде против него бесполезен, не спорю.

В посте я и не навязывал его как универсальный обход. Ландшафт EDR разный. У CrowdStrike Falcon inline-хуки в ntdll живее всех живых В ряде коммерческих EDR предыдущих поколений та же картина. Под каждый класс свой арсенал.

Под Elastic логика другая. ETW-TI патчится не через user-mode EtwEventWrite (там пусто), а с ядра: BYOVD с обнулением ProviderEnableInfo в цепочке _ETW_REG_ENTRY → _ETW_GUID_ENTRY, либо suspend треда логгера. Техника не новая, boilerplate лежит в EDRSandblast. Следующий слой - call-stack spoofing. Elastic с версии 8.11 цепляет стеки на VirtualAlloc, VirtualProtect, WriteProcessMemory и остальных чувствительных сислах через Ti-ETW, indirect syscalls со spoofed RET как раз это и закрывают. Ну и очевидное: поменьше RWX-аллокаций и классических remote-thread примитивов, иначе kernel callback поймает независимо от хуков.

SysWhispers сам по себе точечный инструмент, не серебряная пуля. Дополню пост отдельной секцией, разнесу по классам EDR: где хуки, где ETW-first, где и то и другое. Спасибо, что ткнули.