# AN0384 — Analytic 0384 ## Descrição Detecta tentativas incomuns de acesso direto a disco (como uso de notação `\\.\PhysicalDrive`), escritas anômalas em setores MBR/boot e instalação de drivers de kernel que concedem acesso raw ao disco, correlacionando criação de processos com tentativas de modificação de disco e carregamento de drivers. A telemetria inclui eventos de carregamento de driver (Sysmon Event ID 6), chamadas de API de dispositivo raw e monitoramento de acesso a setores de boot por ferramentas de segurança de endpoint. Essa analítica é fundamental para detectar wipers, bootkits e ransomware que visam destruir dados em nível de disco, tornando a recuperação impossível mesmo após reinicialização. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0384](https://attack.mitre.org/detectionstrategies/DET0137#AN0384)*