# AN1465 — Analytic 1465 ## Descrição Detecta processos incomuns ou suspeitos que carregam DLLs nativas críticas da API (como `ntdll.dll` e `kernel32.dll`) seguidos de comportamento de syscall direto, manipulação de memória ou process hollowing. A telemetria inclui eventos de carregamento de módulos (Sysmon EventID 7), rastreamento de chamadas de sistema via ferramentas como ETW (Event Tracing for Windows) e análise comportamental de operações de memória. Esta analítica é fundamental para detectar técnicas avançadas de evasão que tentam contornar EDRs ao realizar syscalls diretamente, sem passar pelos hooks de segurança injetados nas DLLs de sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1106-native-api|T1106 — Native API]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1465](https://attack.mitre.org/detectionstrategies/DET0529#AN1465)*