# AN1626 — Analytic 1626 ## Descrição Esta analítica detecta tentativas de modificação de timestamps de arquivos via chamadas de API (`SetFileTime`), ferramentas CLI (`w32tm`, PowerShell) ou comportamento de double-timestomp onde os atributos `$SI` e `$FN` do NTFS apresentam divergência, técnica de evasão forense utilizada para dificultar a reconstrução de timeline de ataque. A telemetria inclui monitoramento de chamadas à API `SetFileTime` via Sysmon Event ID 2 (file creation time changed), análise de `$MFT` para discrepâncias entre atributos `$STANDARD_INFORMATION` e `$FILE_NAME`, e alertas de FIM com comparação de timestamps. Esta detecção é importante porque timestomping é usado sistematicamente por APTs para dificultar análises forenses pós-incidente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1626](https://attack.mitre.org/detectionstrategies/DET0591#AN1626)*