Sto analizzando un eseguibile e vedo che ha creato un processo figlio e al suo interno c'è stata una chiamata a NtUnmapViewOfSection. So che questo metodo è quasi sempre dannoso e può essere usato per scavare il processo, per esempio.
Voglio sapere se c'è un buon motivo per vedere questo metodo chiamato durante l'analisi di un eseguibile in sandbox (nel mio caso Cuckoo Sandbox)? O posso essere sicuro che ci fosse un'attività dannosa?
Grazie in anticipo.