Представьте ситуацию: У вас пентест, у вас есть шеллкод, но Windows Defender блокирует любой подозрительный вызов. CreateRemoteThread - детектится. QueueUserAPC - детектится. NtCreateThreadEx - детектится.

Что делать?

Ответ: не создавать потоки самому, а попросить Windows сделать это за вас!.

Callback Injection - это техника, при которой вы «одалживаете» легитимный поток Windows, заставляя его выполнить ваш код через официальные callback-механизмы.

Всем привет! Меня зовут Степанов Даниил. Я работаю пентестером в одной из российских компаний по информационной безопасности. В свободное время исследую современные методы обхода защитных механизмов Windows. В этой статье хочу поделиться результатами одного из таких исследований.

В 2026 году Windows Defender перестал быть просто антивирусом. Это полноценный EDR с поведенческим анализом, облачными сигнатурами и защитой на уровне ядра. Однако статическая компонента - анализ файлов на диске - всё ещё остаётся одной из главных линий обороны. И именно здесь можно найти интересные бреши.

В этой статье я расскажу, как мы взяли открытый Rust PE-загрузчик IronPE, добавили в него возможность загружать полезную нагрузку по HTTP и выполнять её прямо в памяти, полностью обойдя статический детект Windows Defender. А также разберём, почему подобные техники работают и как их можно развивать.