# AN0608 — Analytic 0608 ## Descrição Este analítico detecta manipulação adversária da Extra Window Memory (EWM) em processos GUI do Windows, onde o atacante usa `SetWindowLong` ou `SetClassLong` para redirecionar ponteiros de função para shellcode injetado armazenado em memória compartilhada, acionando a execução via mensagem de janela como `SendNotifyMessage`. A telemetria inclui logs de chamadas de API via ETW (Event Tracing for Windows), monitoramento de uso de `SetWindowLong`/`SetClassLong` por processos suspeitos usando hooking de API e logs de comportamento de processos com detecção de escrita em memória de outros processos seguida de envio de mensagens de janela. Essa detecção é relevante pois a injeção via EWM é uma técnica furtiva que abusa do sistema de mensagens do Windows para executar shellcode em contexto de processos legítimos com janelas GUI, dificultando a detecção por soluções baseadas em análise de processos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0608](https://attack.mitre.org/detectionstrategies/DET0217#AN0608)*