# AN0034 — Analytic 0034 ## Descrição Detecta discrepâncias entre código-fonte VBA e p-code dentro de documentos Office, onde anomalias em fluxos de metadados de arquivo, execução de processos Office carregando macros sem consistência no código-fonte e execução de scripts sem metadados de origem correspondentes indicam possível ofuscação ou evasão de antivírus. A telemetria inclui análise estática de arquivos Office (fluxos OLE, streams VBA), logs de execução de processos filhos de aplicações Office e dados de sandbox. Esse analítico detecta uma técnica sofisticada de evasão onde o código VBA visível para scanners difere do p-code realmente executado pelo motor VBA da Microsoft. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0034](https://attack.mitre.org/detectionstrategies/DET0012#AN0034)*