# AN1271 — Analytic 1271 ## Descrição Detecta criação ou montagem anômala de partições ocultas ou sistemas de arquivos virtuais no Windows, incluindo modificações de registro vinculadas a sistemas de arquivos não padrão, padrões suspeitos de I/O de disco ou comportamento estilo bootkit onde volumes ocultos são acessados fora das APIs normais do sistema de arquivos. A telemetria inclui eventos de auditoria do Windows para operações de disco, modificações de registro em chaves de volume e análise de drivers de sistema de arquivos carregados. Essa análise é importante para detectar técnicas avançadas de ocultação de dados onde adversários armazenam implantes ou dados roubados em partições inacessíveis ao sistema operacional normal. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564.005-hidden-file-system|T1564.005 — Hidden File System]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1271](https://attack.mitre.org/detectionstrategies/DET0461#AN1271)*