Ritardo esecuzione malware

Naviga le tue risposte
1

Sono nuovo nell'analisi del malware e attualmente sto utilizzando Cuckoo per comprendere alcune delle nozioni di base.

Sto cercando di capire quando il malware ritarda le sue esecuzioni iniziali. Ho trovato una chiamata funzionale NtDelayExecution nelle chiamate API / Sistema con due parametri: Status => Skipped e Milliseconds => 1000 . Lo stato della chiamata di funzione legge SUCCESS .

Che cosa significa l'argomento Status ? Significa che la chiamata è stata saltata? Perché ci sono altre chiamate a NtDelayExecution che non hanno l'argomento Status .

    
posta cosmicrao 10.10.2018 - 19:39
fonte

1 risposta

1

Cuckoo è una sandbox automatizzata destinata all'analisi del malware. Salta i primi N secondi di funzioni di ritardo all'avvio di un programma.

NtDelayExecutiom è comunemente usato per prevenire l'analisi dinamica del malware, quindi viene saltato all'avvio del programma per impedire che l'analisi impieghi un tempo proibitivo.

L'uscita della chiamata di funzione ti fa sapere che ha saltato un ritardo di 1000 millisecondi (1000ms = 1 secondo).

    
risposta data 10.10.2018 - 20:13
fonte

Leggi altre domande sui tag

Gli hack delle applicazioni web tradizionali tendono ad accadere di più da attacchi brutali di attacchi casuali o da attacchi euristici mirati? Win Server 2008 RDP Attack