# AN0139 — Analytic 0139 ## Descrição Detecta criação ou modificação de arquivos em diretórios conhecidos por serem excluídos de varredura AV (C:\Windows\Temp, diretórios de servidor Exchange, ou exclusões padrão de AV configuradas), correlacionando com comportamento de execução ou processos pai anômalos que gravam em caminhos excluídos. A telemetria inclui logs do Sysmon (Event ID 11 para criação de arquivo em diretórios suspeitos, Event ID 1 para processo filho do arquivado), monitoramento de chaves de registro de exclusão de AV/EDR (HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions), e análise de quem configura as exclusões. Este analítico detecta a técnica de "AV exclusion abuse" onde malware é implantado deliberadamente em caminhos excluídos de varredura para garantir execução persistente sem detecção. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0139](https://attack.mitre.org/detectionstrategies/DET0051#AN0139)*