# AN1289 — Analytic 1289 ## Descrição Detecta injeção via callbacks de Thread Local Storage (TLS) monitorando modificações de memória em cabeçalhos PE e estruturas de diretório TLS durante ou após eventos de process hollowing, seguidas de comportamento anômalo de threads antes da execução do ponto de entrada principal. A telemetria utilizada inclui eventos de criação de threads (Sysmon Event ID 8), monitoramento de memória via ETW e detecção de escrita em regiões executáveis de processos-alvo. Esta técnica é altamente evasiva porque callbacks TLS são executados antes do entry point principal, dificultando a detecção por soluções que monitoram apenas o início convencional da execução de processos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-012-process-hollowing|T1055.012 — Process Hollowing]] - [[t1106-native-api|T1106 — Native API]] - [[t1027-defense-evasion|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1289](https://attack.mitre.org/detectionstrategies/DET0467#AN1289)*