# AN0839 — Analytic 0839 ## Descrição Esta analítica monitora atividade de mmap + mprotect + execve/execveat dentro de um processo onde permissões de memória são alteradas de gravável para executável sem um ELF correspondente em disco. A telemetria utilizada inclui chamadas de sistema monitoradas via auditd (syscalls mmap, mprotect, execveat) para detectar regiões de memória anônimas que se tornam executáveis em processos de usuário. Esta detecção é fundamental para identificar carregamento reflexivo de código em Linux, uma técnica utilizada por implantes avançados como rootkits e backdoors de APTs que precisam evitar artefatos em disco para contornar scans de integridade de arquivos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0839](https://attack.mitre.org/detectionstrategies/DET0300#AN0839)*