Retraso de ejecución de malware

1

Soy nuevo en el análisis de malware y actualmente estoy usando Cuckoo para comprender algunos de los conceptos básicos.

Estoy tratando de calcular el tiempo que el malware demora sus ejecuciones iniciales. Encontré una llamada funcional NtDelayExecution en las llamadas de API / sistema que tenían dos parámetros: Status => Skipped y Milliseconds => 1000 . El estado de la llamada de función lee SUCCESS .

¿Qué significa el argumento Status ? ¿Significa que la llamada fue omitida? Porque hay otras llamadas a NtDelayExecution que no tienen el argumento Status .

    
pregunta cosmicrao 10.10.2018 - 19:39
fuente

1 respuesta

1

Cuckoo es una caja de arena automatizada para análisis de malware. Omite los primeros N segundos de las funciones de retardo cuando se inicia un programa.

NtDelayExecutiom se usa comúnmente para prevenir el análisis dinámico de malware, por lo que se omite al inicio del programa para evitar que el análisis tome un tiempo prohibitivo.

La salida de llamada de función le permite saber que se saltó un retraso de 1000 milisegundos (1000 ms = 1 segundo).

    
respondido por el Daisetsu 10.10.2018 - 20:13
fuente

Lea otras preguntas en las etiquetas