Sto analizzando un eseguibile e vedo che ha creato un processo figlio e al suo interno c'è stata una chiamata a NtUnmapViewOfSection. So che questo metodo è quasi sempre dannoso e può essere usato per scavare il processo, per esempio.
Voglio sapere se c'è un buon motivo per vedere questo metodo chiamato durante l'analisi di un eseguibile in sandbox (nel mio caso Cuckoo Sandbox)? O posso essere sicuro che ci fosse un'attività dannosa?
Grazie in anticipo.
NtUnmapViewOfSection (e il corrispondente < a href="https://msdn.microsoft.com/en-us/library/windows/hardware/ff566481(v=vs.85).aspx"> NtMapViewOfSection ) sono chiamate di funzione utilizzate dal kernel di Windows- i driver di modalità per gestiscono la memoria condivisa . Queste funzioni possono essere utilizzate per condividere la memoria tra lo spazio del kernel e lo spazio utente: ad esempio, un driver potrebbe usarle per comunicare con uno strumento di configurazione dello spazio utente.