# AN0051 — Analytic 0051 ## Descrição Detecta modificação correlacionada de chaves de registro AppCompat e execução de sdbinst.exe para instalar bancos de dados de shim personalizados, seguida de injeção de DLL via comportamento de shim em processos de aplicações alvo, uma técnica usada para persistência e escalada de privilégios no Windows. A telemetria inclui eventos de modificação do registro (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags), execução de sdbinst.exe e carregamento de DLLs de shim por processos afetados (Sysmon Event ID 7). Esse analítico detecta o abuse do Application Compatibility Shim Framework do Windows, uma técnica usada por grupos APT para injetar código malicioso em processos legítimos com persistência entre reinicializações. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0051](https://attack.mitre.org/detectionstrategies/DET0017#AN0051)*