# AN0243 — Analytic 0243 ## Descrição Esta analítica monitora o uso suspeito de chamadas de API do Windows como `SetWindowsHookEx`, `GetKeyState` ou funções de polling dentro de processos de serviço sem interface gráfica, combinado com modificações no Registro ou em drivers. A telemetria principal inclui logs de chamadas de API, criação de processos e eventos de modificação do Registro do Windows. A detecção é crítica pois keyloggers em modo kernel ou via hooks de sistema são técnicas clássicas de coleta de credenciais usadas por grupos APT. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1056-001-keylogging|T1056.001 — Keylogging]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0243](https://attack.mitre.org/detectionstrategies/DET0089#AN0243)*