Hello Clément,

Super article as always 👍

Lors d'un engagement redteam récent, j'ai remarqu�� que les EDR(s) étaient en monitoring aussi sur le module PSReadLine notamment sur le history handler/file output. (Pas cool de se faire toper après bypass AMSI/ETW et se faire avoir juste à cause de l'historique de commande lol).

Je suggère l'ajout suivant :

$type = [Microsoft.PowerShell.PSConsoleReadLine]
$options = $type.GetField("_options","NonPublic,Instance")
$instance = $type.GetField("_singleton", "Static,NonPublic").GetValue($null)
$options.SetValue($instance, $null)

Before :

After :