# AN1593 — Analytic 1593 ## Descrição Detecta modificação inesperada da KernelCallbackTable no PEB (Process Environment Block) de um processo, seguida de invocação de funções de callback modificadas (ex: fnCOPYDATA) por meio de mensagens Windows. A telemetria cobre cadeias suspeitas de chamadas de API como NtQueryInformationProcess → WriteProcessMemory → execução anômala de callback GUI, correlacionadas com atividade de rede ou injeção de código no processo alvo. Esse mecanismo avançado de injeção é utilizado por adversários sofisticados para executar código em processos legítimos contornando controles de segurança baseados em hooking. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1593](https://attack.mitre.org/detectionstrategies/DET0577#AN1593)*