# AN0913 — Analytic 0913 ## Descrição Este analytic detecta executáveis com padding NOP excessivo, tamanho binário anormalmente grande para sua função declarada, e execução subsequente ou injeção de memória a partir de tais arquivos, especialmente quando originados de caminhos temporários ou do espaço do usuário. A telemetria utilizada inclui análise estática de binários por EDR, monitoramento de criação de arquivos em `%TEMP%` e `%APPDATA%`, e eventos de injeção de memória detectados por hooks de API. O padding deliberado de binários é uma técnica de evasão de AV que aumenta o tamanho do arquivo para exceder limites de scan, tornando este analytic valioso para detectar malware customizado e stagers de segunda fase. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0913](https://attack.mitre.org/detectionstrategies/DET0322#AN0913)*