# AN1195 — Analytic 1195 ## Descrição Detecta modificações não autorizadas em chaves de registro relacionadas a serviços como `ImagePath`, `FailureCommand`, `ServiceDll` ou chaves de Performance/Parameters, correlacionando modificações de registro, mudanças anômalas de metadados de serviço e execuções subsequentes de processos de serviço que desviam das configurações baseline. A telemetria inclui eventos de modificação de registro do Windows (Event IDs 4657, 4697), Sysmon (Event IDs 12/13 para registro, 7 para carregamento de imagem) e logs de controle de serviços para identificar a cadeia completa de comprometimento de serviço. A modificação de ServiceDll e ImagePath em serviços existentes é uma técnica de persistência sofisticada que se camufla como serviços legítimos do sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1195](https://attack.mitre.org/detectionstrategies/DET0427#AN1195)*