Всем привет! Меня зовут Степанов Даниил. Я работаю пентестером в одной из российских компаний по информационной безопасности. В свободное время исследую современные методы обхода защитных механизмов Windows. В этой статье хочу поделиться результатами одного из таких исследований.

В 2026 году Windows Defender перестал быть просто антивирусом. Это полноценный EDR с поведенческим анализом, облачными сигнатурами и защитой на уровне ядра. Однако статическая компонента - анализ файлов на диске - всё ещё остаётся одной из главных линий обороны. И именно здесь можно найти интересные бреши.

В этой статье я расскажу, как мы взяли открытый Rust PE-загрузчик IronPE, добавили в него возможность загружать полезную нагрузку по HTTP и выполнять её прямо в памяти, полностью обойдя статический детект Windows Defender. А также разберём, почему подобные техники работают и как их можно развивать.