在不斷升級野外威脅攻防下，高階網軍得採以更隱匿的滲透攻擊取得反彈 Shell、並橫向移動潛伏於企業核心中，其中無文件攻擊（Fileless Attack）策略便是挫敗最為先進的端點防線的主力手法：濫用系統原生服務（如 PowerShell 與 LoLBins）進行組合攻擊，最終完成提權與利用 BYOVD 技巧關閉核心端點防護、植入後門。

為解決上述多層次的原生服務濫用手法，微軟於Windows10中推出了AMSI（Antimalware Scan Interface）部署於系統中多個脆弱的風險架構上，提供了更為細粒度的語義掃描以達協作防控，成為了解決安全產品對於此類早期攻擊威脅的主力防線 … 然而，真的有效嗎？

這場議程我們將從一篇 CrowdStrike 早期威脅研究所擔憂的 AMSI 架構設計面談起。將陪伴聽眾以逆向工程方法拆解入 PowerShell + AMSI 防線架構中 The Good, The Bad and The Ugly —— 探討 PowerShell 架構元件底層交互協作過程，並轉化為多道務實有效的野外利用技巧。在偵測方面，我們將分析在多層次的掛鉤下能否彌補這些繞過手法，幫助藍隊夥伴能對 PowerShell 底層引擎有夠深一層的認識。

在這波 AI 革命中各式基於 Transformer 已成功將 AI Intelligence 以 GPT 聊天機器人形式在民生與商業場景遍地開花成果，這道熱浪的興起使 各大頂級資安解決方案已證實了自動化鑑識與網管輔助對話機器人能實務有效輔助網管的資安調查與回應需求，如 Defender Copilot。然而 LLM 難以根治的先天幻覺問題，其推理能力仍難以解決防不勝防的野外威脅出其不意地發動攻擊。

因此，能否打造無需人工交互的 AI 偵測引擎，以達無網管與鑑識人員前提下的 24/7 全態勢監測——落地於場域中執行程式能由預先培訓的本地 AI Agent 實時操作逆向工程分析、推理、鑑別並自動化做出回應、而無需人工交互，成為了次世代端點防護偵測的新思路… 我們能否以大規模樣本、將逆向分析師的能力煉化一個 AI 專才模型？

在這場議程我們將從學術研究中陪伴聽眾踏上找尋仿生逆向聖杯的道路，如何從基於經典 Attention 模型的 NMT（Neural Machine Translation）轉換為具有符號理解與推理能力的 AI Agent 並培訓為實務端點偵測的逆向推理引擎。