# AN0056 — Analytic 0056 ## Descrição Detecta arquivos executáveis ou binários criados sem tabelas de símbolos ou com seções stripped, especialmente quando gerados por processos não pertencentes ao usuário ou compiladores invocados fora de caminhos de desenvolvimento padrão, indicando criação proposital de binários difíceis de analisar. A telemetria inclui análise de ELF (verificação de seções .symtab/.strtab), auditd com monitoramento de escrita de arquivo executável e correlação com execução subsequente. Esse analítico é relevante para identificar implantes customizados em Linux que são deliberadamente stripped para dificultar análise forense e evasão de regras de detecção baseadas em strings ou assinaturas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0056](https://attack.mitre.org/detectionstrategies/DET0019#AN0056)*