Soy nuevo en el análisis de malware y actualmente estoy usando Cuckoo para comprender algunos de los conceptos básicos.
Estoy tratando de calcular el tiempo que el malware demora sus ejecuciones iniciales. Encontré una llamada funcional NtDelayExecution
en las llamadas de API / sistema que tenían dos parámetros: Status => Skipped
y Milliseconds => 1000
. El estado de la llamada de función lee SUCCESS
.
¿Qué significa el argumento Status
? ¿Significa que la llamada fue omitida? Porque hay otras llamadas a NtDelayExecution
que no tienen el argumento Status
.