# AN0882 — Analytic 0882 ## Descrição Este analytic detecta processos que tentam acesso bruto ao disco via caminhos `\\.\PhysicalDrive`, operações anômalas de I/O direcionadas ao MBR ou setores de boot, e carregamento de drivers de terceiros (como RawDisk) que habilitam a sobrescrita de disco. A telemetria utilizada inclui eventos de criação de processo, uso de privilégios elevados e eventos de modificação de disco, correlacionados em uma janela de tempo reduzida. É crítico para detectar ataques de destruição de dados e wipers que comprometem a inicialização do sistema antes que a recuperação sejá possível. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1561-001-disk-content-wipe|T1561.001 — Disk Content Wipe]] - [[t1561-002-disk-structure-wipe|T1561.002 — Disk Structure Wipe]] - [[t1485-data-destruction|T1485 — Data Destruction]] --- *Fonte: [MITRE ATT&CK — AN0882](https://attack.mitre.org/detectionstrategies/DET0316#AN0882)*