# AN1501 — Analytic 1501 ## Descrição Detecta o abuso de Transactional NTFS (TxF) e mecanismos não documentados de carregamento de processos (como `NtCreateProcessEx`) para criar um processo oco a partir de uma imagem de arquivo não confirmada e maliciosamente adulterada na memória, posteriormente executada via `NtCreateThreadEx`. A telemetria inclui ETW (Event Tracing for Windows) para rastreamento de chamadas de API de kernel de baixo nível, Sysmon EventID 1/10 para criação de processos e acesso a processos, e análise de discrepâncias entre a imagem de processo em disco e em memória. Esta analítica detecta process doppelgänging, técnica avançada de evasão que cria processos legítimos na aparência mas com código malicioso em memória, contornando soluções de segurança baseadas em análise de arquivo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1106-native-api|T1106 — Native API]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1501](https://attack.mitre.org/detectionstrategies/DET0544#AN1501)*