# AN0838 — Analytic 0838 ## Descrição Esta analítica detecta cadeias anômalas de alocação e execução de memória dentro do mesmo processo, como VirtualAlloc → memcpy → VirtualProtect → CreateThread. Diferente da injeção em outros processos, o carregamento reflexivo de código não realiza escritas de memória cross-process — a atividade suspeita ocorre inteiramente dentro do contexto do próprio PID. A telemetria utilizada inclui ETW (Event Tracing for Windows) e sensores de EDR que monitoram transições de permissão de memória de RW para RX dentro de um mesmo processo. Esta detecção é essencial para identificar técnicas de evasão usadas por frameworks de C2 como Cobalt Strike Beacon e Meterpreter que carregam payloads reflexivamente para evitar gravação em disco e escaneamentos de arquivos por antivírus. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0838](https://attack.mitre.org/detectionstrategies/DET0300#AN0838)*