# AN1133 — Analytic 1133 ## Descrição Monitora modificações no Registro do Windows nas chaves Winlogon (Shell, Userinit, Notify) que introduzem novos caminhos de executável ou DLL, correlacionando essas mudanças com carregamento subsequente de DLLs ou criação de processos originados de winlogon.exe ou userinit.exe. A telemetria utilizada inclui eventos do Windows Event Log (IDs 4657, 4663), logs do Sysmon (Event ID 12/13/14 para registro e Event ID 7 para carregamento de imagens) e auditoria de processos. Modificações não autorizadas nessas chaves são um indicador clássico de persistência pós-comprometimento, pois permitem execução de código malicioso no logon de qualquer usuário. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1133](https://attack.mitre.org/detectionstrategies/DET0404#AN1133)*