# AN0478 — Analytic 0478 ## Descrição Detecta scripts ou binários que executam uma sequência rápida de verificações de descoberta do sistema — como contagem de CPUs, tamanho de RAM, chaves de registro e processos em execução — indicativas de detecção de ambiente virtualizado. A telemetria inclui eventos de criação de processos, acesso a chaves de registro e chamadas de API do sistema no Windows. Técnicas de detecção de sandbox são amplamente usadas por malware para evadir análise dinâmica, tornando essa analítica fundamental para identificar amostras evasivas. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1012-query-registry|T1012 — Query Registry]] --- *Fonte: [MITRE ATT&CK — AN0478](https://attack.mitre.org/detectionstrategies/DET0168#AN0478)*