# AN1494 — Analytic 1494 ## Descrição Detecta comportamento adversarial onde um processo enumera e modifica a memória de outro processo usando os arquivos `/proc/[pid]/maps` e `/proc/[pid]/mem`, incluindo identificação de gadgets via mapeamentos de memória e sobrescrita de memória de processo via modificação de arquivo de baixo nível ou uso de `dd`. A telemetria inclui auditd monitorando acessos ao sistema de arquivos `/proc`, rastreamento de syscalls `open`/`read`/`write` em arquivos de memória de processo e correlação com comportamento anômalo subsequente do processo alvo. Esta analítica é relevante para detectar injeção de código e manipulação de processo sem uso de ptrace em Linux, técnica avançada que evade controles que bloqueiam apenas o uso de ptrace. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1106-native-api|T1106 — Native API]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1494](https://attack.mitre.org/detectionstrategies/DET0541#AN1494)*