# AN0271 — Analytic 0271 ## Descrição Esta analítica detecta processos que utilizam chamadas de API Win32 como `EnumWindows` ou `GetForegroundWindow`, ou ferramentas de script (PowerShell, VBScript) para enumerar janelas abertas, frequentemente combinadas com TTPs de reconhecimento ou coleta de dados. A telemetria inclui logs de chamadas de API monitoradas por EDR, eventos de criação de processos com argumentos suspeitos e correlação com outras atividades de reconhecimento. A detecção é relevante pois a enumeração de janelas ativas é técnica usada por spyware e RATs para identificar aplicativos sensíveis abertos (bancos, VPNs, gerenciadores de senha) antes da coleta de capturas de tela. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1010-application-window-discovery|T1010 — Application Window Discovery]] - [[t1113-screen-capture|T1113 — Screen Capture]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0271](https://attack.mitre.org/detectionstrategies/DET0097#AN0271)*