# AN1245 — Analytic 1245 ## Descrição Detecta persistência baseada em perfis PowerShell correlacionando criação ou modificação de arquivos em locais conhecidos de perfil com inicializações subsequentes do PowerShell que não utilizam a flag -NoProfile. A telemetria inclui eventos de modificação de arquivos em locais de perfil do PowerShell (profile.ps1, Microsoft.PowerShell_profile.ps1) e eventos de criação de processos PowerShell com argumentos específicos. Essa análise é relevante porque scripts de perfil são carregados automaticamente em cada sessão PowerShell, fornecendo um mecanismo de persistência e escalada de privilégios que persiste entre reinicializações. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1546.013-event-triggered-execution-powershell-profile|T1546.013 — PowerShell Profile]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN1245](https://attack.mitre.org/detectionstrategies/DET0451#AN1245)*