# AN0066 — Analytic 0066 ## Descrição Detecta comportamento de desempacotamento de malware por meio de alocação anormal de memória, seguida de injeção de código executável e execução a partir de seções de memória que não são imagens mapeadas de disco, indicando runtime unpacking de malware empacotado. A telemetria inclui eventos de criação de memória executável (via ETW/Sysmon Event ID 8 - CreateRemoteThread, Event ID 10), análise de comportamento de memória por EDR e detecção de execução de shellcode em regiões alocadas dinâmicamente. Esse analítico é fundamental para detectar empacotadores (packers) usados por malware avançado como Cobalt Strike, Metasploit e stealers modernos que utilizam técnicas de in-memory unpacking para evadir análise estática. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN0066](https://attack.mitre.org/detectionstrategies/DET0023#AN0066)*