# AN1193 — Analytic 1193 ## Descrição Detecta processos acessando unidades lógicas brutas (por exemplo, `\\.\C:`) para contornar proteções do sistema de arquivos ou manipular diretamente estruturas de dados. A telemetria inclui eventos de auditoria de acesso a objetos do Windows (Event IDs 4656, 4663), Sysmon para acesso a dispositivos de armazenamento e monitoramento de handles para identificar processos que abrem unidades de disco diretamente, contornando APIs de sistema de arquivos. Esse comportamento é frequentemente associado a técnicas de destruição de dados, ransomware de baixo nível e bootkit installers que precisam gravar diretamente em setores de disco para evitar interferência de sistemas de proteção de arquivos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] --- *Fonte: [MITRE ATT&CK — AN1193](https://attack.mitre.org/detectionstrategies/DET0426#AN1193)*