# AN1097 — Analytic 1097 ## Descrição Este analítico monitora manipulações em tempo de execução detectando modificações suspeitas em binários de aplicação, hooking de API ou comportamento inesperado de processos responsáveis por renderizar ou exibir dados. Correlaciona edições no Registro, criação de processos e discrepâncias inesperadas no hash de binários. Utiliza telemetria de Sysmon, verificação de integridade de arquivos e monitoramento de chamadas de API para identificar tampering de dados em tempo de execução. A detecção é importante para identificar ataques que manipulam dados exibidos a usuários (como valores em dashboards financeiros) sem modificar arquivos em disco, uma técnica avançada usada em fraudes financeiras. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1097](https://attack.mitre.org/detectionstrategies/DET0391#AN1097)*