Неплохой разбор, особенно понравился акцент на комбинировании техник и важности тестирования в реальных условиях. Часто забывают, что просто патчить AMSI — не панацея без обхода хуков и понимания kernel callbacks. И indirect syscall с прыжком в ntdll реально поднимает уровень маскировки вызовов, хотя ядро всё равно почти всё видит. В 2026-м без ядра в EDR почти никак не обойтись.