Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке. В статье разберём, как работают BYOVD-атаки пройду: начну с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, изучим свежие техники zerosalarium и публичные тулкиты, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.