# AN1046 — Analytic 1046 ## Descrição Este analítico monitora acessos ao arquivo `/proc/self/status` onde o campo `TracerPID` é consultado, uma técnica comum para detectar a presença de depuradores em sistemas Linux. Utiliza telemetria de auditoria de chamadas de sistema (`auditd`, eBPF) para identificar processos que provocam exceções intencionalmente e verificam se o tratamento de exceções indica presença de debugging. Esta detecção é importante porque malware sofisticado usa verificações anti-debug para se comportar de forma diferente em ambientes de análise, dificultando a resposta a incidentes. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1046](https://attack.mitre.org/detectionstrategies/DET0371#AN1046)*