Estoy analizando un ejecutable y veo que creó un proceso secundario y dentro de él hubo una llamada a NtUnmapViewOfSection. Sé que este método es casi siempre malicioso y se puede usar para el proceso de vaciado de procesos, por ejemplo.
¿Quiero saber si hay una buena razón para ver este método cuando se analiza un ejecutable en el sandbox (en mi caso, en el cuckoo sandbox)? ¿O puedo estar seguro de que hubo una actividad maliciosa?
Gracias de antemano.
NtUnmapViewOfSection (y el correspondiente < a href="https://msdn.microsoft.com/en-us/library/windows/hardware/ff566481(v=vs.85).aspx"> NtMapViewOfSection ) son llamadas a funciones utilizadas por el núcleo de Windows- controladores de modo para administrar la memoria compartida . Estas funciones se pueden usar para compartir memoria entre el espacio del kernel y el espacio del usuario: por ejemplo, un controlador podría usarlas para comunicarse con una herramienta de configuración del espacio del usuario.