# AN1045 — Analytic 1045 ## Descrição Este analítico monitora o uso suspeito de chamadas de API do Windows como `IsDebuggerPresent()` e `NtQueryInformationProcess()`, além de processos que verificam manualmente o flag `BeingDebugged` no Process Environment Block (PEB). Utiliza telemetria de monitoramento de chamadas de sistema (ETW, Sysmon) e análise comportamental de sequências de chamadas a `OutputDebugStringW()` em intervalos curtos, indicando possíveis tentativas de inundar um depurador. Esta detecção é essencial para identificar malware que tenta evitar análise em sandboxes ou ambientes de debugging, uma técnica comum em RATs e loaders avançados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1045](https://attack.mitre.org/detectionstrategies/DET0371#AN1045)*