# AN1384 — Analytic 1384 ## Descrição Detecta abuso de atributos de arquivo ou registro para ocultar arquivos, diretórios ou serviços maliciosos no Windows, incluindo uso de attrib.exe para definir flags hidden/system, criação de Alternate Data Streams (ADS) ou chaves de registro que alteram visibilidade de arquivos. Utiliza eventos de auditoria de sistema de arquivos (Event ID 4663), monitoramento de linha de comando de attrib.exe e análise de Alternate Data Streams em diretórios sensíveis para identificar técnicas de ocultação de artefatos. Fundamental para detectar malwares e ferramentas pós-exploração que ocultam arquivos de configuração, logs e payloads para dificultar análise forense e resposta a incidentes. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] --- *Fonte: [MITRE ATT&CK — AN1384](https://attack.mitre.org/detectionstrategies/DET0502#AN1384)*