Un attaquant ciblant un système cherche en général à rester indétectable le plus longtemps possible. Il doit éviter autant que possible d'exécuter des actions caractéristiques d'attaques connues. Une façon d'éviter la détection est d'exécuter seulement des actions qui semblent légitimes. Il s'agit d'actions qui sont, soit autorisées par la configuration du système, soit possibles en détournant l'usage de services légitimes. Cet article présente AWARE (Attacks in Windows Architectures REvealed), un outil défensif pour requêter une infrastructure Windows et construire un graphe de positions d'attaque révélant les chemins d'attaque que pourrait suivre un attaquant durant la phase de propagation de sa campagne d'attaque. Les chemins d'attaque découverts par AWARE se basent uniquement sur des actions légitimes du système et l'utilisation de services dits Living-Off- The-Land. Ces chemins sont donc critiques pour le défenseur car difficiles à surveiller.