恶意软件执行延迟

Question

我是新的恶意软件分析，目前正在使用布谷鸟了解一些基本知识。

我正在努力计算恶意软件延迟其最初执行的时间。我在API/System调用中找到了一个函数调用NtDelayExecution，它有两个参数：Status => Skipped和Milliseconds => 1000。函数调用的状态读取SUCCESS。

Status的论点是什么意思？这是不是意味着电话被跳过了？因为对NtDelayExecution的其他调用没有参数Status。

Answer 1

Cuckoo是一个用于恶意软件分析的自动沙箱。当程序启动时，它跳过延迟函数的第一个N秒。

NtDelayExecutiom通常用于防止动态恶意软件分析，因此在程序开始时跳过它，以防止分析占用相当长的时间。

函数调用输出让您知道它跳过了1000毫秒的延迟(1000 is =1秒)。