Проблема: Система защиты от эксплойтов (EMET, WD EG, AppLocker) не блокирует технику атаки, использующую неизвестный ранее метод обхода (например, Call Stack Spoofing, Indirect Syscall, Thread Name Callback Hijack).

Причины:
1. Сигнатурный анализ неэффективен — техника не имеет известной сигнатуры в базе; поведение маскируется под легитимные вызовы API.
2. Эвристика не обучена — ядро защиты не включает правило для нового шаблона (например, не отслеживает вызов `NtContinue` для обхода анти-PatchGuard).
3. Отключены динамические фильтры — политика защиты не включает мониторинг критических системных вызовов (Syscall Filter, FilterDriver).

Решение:
1. Включите контроль системных вызовов (Syscall Filter):
- В Windows Defender Exploit Guard: активируйте "Block ALL syscalls from user mode" через PowerShell:
powershell
Set-ProcessMitigation -Policy "BlockExecute", "BlockSyscall"

2. Настройте правила блокировки по поведению (Behavioral Block):
- Для ETW-TI (Threat Intelligence): зафиксируйте аномальные цепочки вызовов через `Xperf`/`Process Monitor`.
- Пример: блокировка создания потока с использованием нестандартного API (например, `SetThreadInformation` при внедрении кода).
3. Переопределите политики AppLocker/WDAC:
- Запретите выполнение кода из областей с изменяемыми PE (например, `C:\Users\Public\`):
filepathcondition
: Path = %PUBLIC%\ Deny

4. Обновите базы данных защиты:
- Используйте Microsoft Vulnerability & Exploit Detection:
cmd
mpcmdrun -UpdateSignatures

- Для сторонних систем (CrowdStrike, SentinelOne) — активируйте "Rollup prevention" для неизвестных техник через `Threat Graph`.

Критично: Если техника использует новый метод обхода (например, Vectored Exception Handler Injection), добавьте ручной детект в EDR через мониторинг `NtRaiseException` — проверяйте целостность стека вызовов:
text
!process 0 0 exploit.exe

!thread -scan -stack