# AN0919 — Analytic 0919 ## Descrição Este analytic identifica executáveis auto-modificáveis que exibem alterações em hash binário, entropia ou seções de memória durante ou entre execuções, frequentemente associados a comportamentos de desempacotamento dinâmico ou descriptografia de payload. A telemetria inclui análise de hash de arquivo por EDR entre execuções, monitoramento de entropy de seções PE e eventos de alocação de memória executável (VirtualAlloc com PAGE_EXECUTE). Detectar executáveis polimórficos e auto-modificáveis é fundamental para identificar famílias de malware que empregam empacotamento personalizado para evadir detecção por assinatura, como é comum em ransomware moderno e implants de APT. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1027-002-software-packing|T1027.002 — Software Packing]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] --- *Fonte: [MITRE ATT&CK — AN0919](https://attack.mitre.org/detectionstrategies/DET0324#AN0919)*