# AN0941 — Analytic 0941 ## Descrição Detecta o uso de injeção baseada em mensagens monitorando sequências que envolvem `FindWindow` (ou `EnumWindows`/`EnumChildWindows`), chamadas `VirtualAllocEx` e uso suspeito de `PostMessage`/`SendMessage` com mensagem `LVM_SETITEMPOSITION` para controles `SysListView32`, seguido da invocação de `LVM_SORTITEMS` em vez de `WriteProcessMemory`. A telemetria inclui chamadas de API Win32 monitoradas via ETW (Event Tracing for Windows) e eventos de acesso à memória de processos. Essa técnica permite injeção de código em processos sem as chamadas de API convencionais, dificultando a detecção por soluções tradicionais de EDR. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1106-native-api|T1106 — Native API]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0941](https://attack.mitre.org/detectionstrategies/DET0331#AN0941)*